B
Brummelchen
Gast
Alternate Data Streams - des Windows unbekannte Kinder
Wie so vieles hier wieder eine Geschichte aus dem digitalen Leben.
Da ich ab und an meinen Rechner nach Malware absuchen lassen und wie
immer auch gespannt :sleep davor sitze, ist mir eine Datei aufgefallen,
die als "gesperrt" erkannt wurde, die ich aber noch nie gesehen hatte.
C::BZ-VIRTUAL-LINK
(kein Schreibfehler)
Tja, unter C stand die aber nicht.
Interessanterweise tauchten dann noch mehr dieser Dateien im Protokoll auf,
in verschiedenen Ordner. Mein Zustand ging von :sleep auf
über.
Sollte mich da etwa...?
Lange Frage, kurze Handlung: Image zurück.
Dasselbe Spielchen von vorn - da auch der Mist drin. :motz
Ab zu Google - der kannte das nicht so oft:
http://www.google.com/search?q=BZ-VIRTUAL-LINK
Auf jedenfall waren die englisch und deutschsprachigen Seiten sehr rar,
also liest man sich das wenige durch - und ist genauso schlau wie vorher:
http://www.techsupportforum.com/sec...log-help-inactive/292968-bz-virtual-link.html
Ich habe mir dann aus besagtem Thema das Tool GMER* geholt und ausgeführt.
Die Optionen sind alle aktiviert, auch rechts für ADS (Alternate Data Streams).
Dann klickt man oben auf "> > >" und bekommt eine komplette Übersicht, was
grad mitläuft oder geladen wurde. Schon mal nicht schlecht.
Für mich war dann der Reiter "Files" interessant, ich wollte ja an diese Datei ran.
Und da stand sie dann auch. Und ich fand auch die anderen Dateien.
Allerdings habe ich mich über die Verteilung gewundert, denn es war grad eine
Hand voll auf Laufwerk C verteilt. Wäre es Malware gewesen, müssten diese
eigentlich überall stehen. Ebenso war ich schon die ganze Zeit stutzig über
den Namen "BZ-VIRTUAL-LINK". Dieses BZ kannte ich eigentlich schon und
aufgrund meiner Tätigkeiten damit war dann auch das Verteilungsmuster
nicht mehr wunderlich: BufferZone
Bufferzone ist wie Sandboxie eine virtuelle Umgebung, hier das erste mal besprochen:
https://www.supernature-forum.de/tu...sicher-surfen-durch-sandboxie.html#post682858
Ich also komplett C abgesucht, D, E, F usw. Ist sehr mühsam, sich da manuell
durchzukämpfen, aber es gab eine Logik dabei:
Finde ich zB Windows:BZ-VIRTUAL-LINK, weiss ich genau,
dass ich weiter im Unterordner \Windows schauen musste nach weiteren Dateien
dieser Art. Waren dort keine, musste ich nicht tiefer graben.
Nochmal schönen Dank, ihr Pfeifen - weil diese Dateien nicht mal in deren Forum
angesprochen wurde. Hat wohl auch noch nie jemand vorher gefunden!?
Die Frage, was es war und wo ich es finde war jetzt also geklärt. Wäre da nicht
noch etwas gewesen:
Nochmal ADS, aber diesmal :Zone.Identifier.
Ich fand Dateien, zB "abc.exe", die nochmal eine "abc.exe:Zone.Identifier"
daneben stehen hatten. Also wieder Google bemüht:
http://www.google.com/search?q=zone.identifier
Und wieder fündig geworden:
http://www.pbk-solutions.de/service/kb/4-softbetriebssysteme/55-ntfs-zoneidentifier.html
Im konkreten Fall waren meine Office-Updates behaftet, da ich diese manuell heruntergeladen
hatte - und wer kennt nicht diese tolle Abfrage von Windows.
"Möchten Sie diese Datei wirklich ausführen?"
Der :Zone.Identifier sagt in solchen Fällen aus, dass ich mir diese Datei aus dem Internet,
einer unsicheren Zone, in einer sichere Zone, nämlichen meinen Rechner, heruntergeladen hatte.
Nun lädt man sich ja nicht nur Updates herunter, also alles nochmal durchsuchen!?
Ich bin doch nicht blöd
Also suchte ich mir ein Programm, welches mir die Suche abnimmt - und bin auch fündig geworden:
ADS Locator
http://www.safer-networking.org/de/paragraphs/tools_ads.html
Zu blöd nur, dass jenes nur finden konnte, ich musste jedesmal in GMER und dort löschen.
Also zurück zu Google, dauerte auch etwas:
www.sven-of-nine.de
Links auf Downloads und runter blättern zum "datastream_viewer" (Streamview).
Damit hatte ich das erste Programm gefunden, welches ADS finden und auch löschen konnte.
- Laufwerk auswählen (evtl Pfad noch)
- Scan
- ADS (Stream) markieren
- Stream löschen
- alternativ: alle Streams diesen Typs löschen
Super Sache. Nächste kleiner - Photoshop.exe war auch behaftet. Allerdings
durch eine komische Nummer (ähnlich einer CLSID) und noch was (also doppelt).
Zurück im GMER und nachgeschaut und eben gelöscht.
Photoshop läuft trotzdem
Also die Kombination aus Streamview und GMER ist schon toll.
Ich bin dann noch auf StreamFinder gestossen, allerdings findet der nicht alles.
http://www.gaijin.at/dlstreamfind.php
Sei daher nur erwähnt, aber nicht empfohlen.
Warum sind ADS (Streams) nun so wichtig?
Dazu nochmal auf den heise-Artikel verlinkt:
http://www.heise.de/security/Gefahr-aus-der-Schattenwelt--/artikel/52139
Diese Streams sind eigentlich Dateien, auch ausführbar. Nur werden sie nicht angezeigt
im Explorer, weder noch, da nützen auch "alle Dateien anzeigen" und Attribute nichts.
Die Problematik steckt jedoch im Dateil, wenn man auf die nächste Seite blättert:
ADS-Dateien wollen sich nicht immer finden lassen!
Ich verlinke hier bewusst nochmal auf den Beitrag von Quhno:
https://www.supernature-forum.de/si...n-w32-sircam-worm-eingefangen.html#post820883
Die Essenz nochmal daraus:
Ein infiziertes System lässt sich nicht bereinigen bzw reparieren!
Wir predigen daher nicht umsonst, man möge formatieren oder ein sauberes Image
zurückspielen. Nur der Entwickler weiss, welche Fallen eingebaut wurde.
Alles andere ist nur Zeitverschwendung.
*Anmerkung zu Gmer:
Gmer legt 4 Dateien unter \Windows an (eine davon unter \system32), um
arbeiten zu können. Danach einfach \Windows nach "gmer*" durchsuchen und löschen.
Weiterführende Links:
http://www.techsupportforum.com/sec...log-help-inactive/292968-bz-virtual-link.html
http://www.heise.de/security/Gefahr-aus-der-Schattenwelt--/artikel/52139
http://de.wikipedia.org/wiki/Alternate_Data_Streams
http://www.pbk-solutions.de/service/kb/4-softbetriebssysteme/55-ntfs-zoneidentifier.html
http://www.safer-networking.org/de/paragraphs/tools_ads.html
http://www.sven-of-nine.de/
http://www.gaijin.at/dlstreamfind.php
BufferZone (nicht empfohlen)
http://www.trustware.com/
Wie so vieles hier wieder eine Geschichte aus dem digitalen Leben.
Da ich ab und an meinen Rechner nach Malware absuchen lassen und wie
immer auch gespannt :sleep davor sitze, ist mir eine Datei aufgefallen,
die als "gesperrt" erkannt wurde, die ich aber noch nie gesehen hatte.
C::BZ-VIRTUAL-LINK
(kein Schreibfehler)
Tja, unter C stand die aber nicht.
Interessanterweise tauchten dann noch mehr dieser Dateien im Protokoll auf,
in verschiedenen Ordner. Mein Zustand ging von :sleep auf
über.Sollte mich da etwa...?
Lange Frage, kurze Handlung: Image zurück.
Dasselbe Spielchen von vorn - da auch der Mist drin. :motz
Ab zu Google - der kannte das nicht so oft:
http://www.google.com/search?q=BZ-VIRTUAL-LINK
Auf jedenfall waren die englisch und deutschsprachigen Seiten sehr rar,
also liest man sich das wenige durch - und ist genauso schlau wie vorher:
http://www.techsupportforum.com/sec...log-help-inactive/292968-bz-virtual-link.html
Ich habe mir dann aus besagtem Thema das Tool GMER* geholt und ausgeführt.
Die Optionen sind alle aktiviert, auch rechts für ADS (Alternate Data Streams).
Dann klickt man oben auf "> > >" und bekommt eine komplette Übersicht, was
grad mitläuft oder geladen wurde. Schon mal nicht schlecht.
Für mich war dann der Reiter "Files" interessant, ich wollte ja an diese Datei ran.
Und da stand sie dann auch. Und ich fand auch die anderen Dateien.
Allerdings habe ich mich über die Verteilung gewundert, denn es war grad eine
Hand voll auf Laufwerk C verteilt. Wäre es Malware gewesen, müssten diese
eigentlich überall stehen. Ebenso war ich schon die ganze Zeit stutzig über
den Namen "BZ-VIRTUAL-LINK". Dieses BZ kannte ich eigentlich schon und
aufgrund meiner Tätigkeiten damit war dann auch das Verteilungsmuster
nicht mehr wunderlich: BufferZone
Bufferzone ist wie Sandboxie eine virtuelle Umgebung, hier das erste mal besprochen:
https://www.supernature-forum.de/tu...sicher-surfen-durch-sandboxie.html#post682858
Ich also komplett C abgesucht, D, E, F usw. Ist sehr mühsam, sich da manuell
durchzukämpfen, aber es gab eine Logik dabei:
Finde ich zB Windows:BZ-VIRTUAL-LINK, weiss ich genau,
dass ich weiter im Unterordner \Windows schauen musste nach weiteren Dateien
dieser Art. Waren dort keine, musste ich nicht tiefer graben.
Nochmal schönen Dank, ihr Pfeifen - weil diese Dateien nicht mal in deren Forum
angesprochen wurde. Hat wohl auch noch nie jemand vorher gefunden!?
Die Frage, was es war und wo ich es finde war jetzt also geklärt. Wäre da nicht
noch etwas gewesen:
Nochmal ADS, aber diesmal :Zone.Identifier.
Ich fand Dateien, zB "abc.exe", die nochmal eine "abc.exe:Zone.Identifier"
daneben stehen hatten. Also wieder Google bemüht:
http://www.google.com/search?q=zone.identifier
Und wieder fündig geworden:
http://www.pbk-solutions.de/service/kb/4-softbetriebssysteme/55-ntfs-zoneidentifier.html
Im konkreten Fall waren meine Office-Updates behaftet, da ich diese manuell heruntergeladen
hatte - und wer kennt nicht diese tolle Abfrage von Windows.
"Möchten Sie diese Datei wirklich ausführen?"
Der :Zone.Identifier sagt in solchen Fällen aus, dass ich mir diese Datei aus dem Internet,
einer unsicheren Zone, in einer sichere Zone, nämlichen meinen Rechner, heruntergeladen hatte.
Nun lädt man sich ja nicht nur Updates herunter
, also alles nochmal durchsuchen!?Ich bin doch nicht blöd
Also suchte ich mir ein Programm, welches mir die Suche abnimmt - und bin auch fündig geworden:
ADS Locator
http://www.safer-networking.org/de/paragraphs/tools_ads.html
Zu blöd nur, dass jenes nur finden konnte, ich musste jedesmal in GMER und dort löschen.
Also zurück zu Google, dauerte auch etwas:
www.sven-of-nine.de
Links auf Downloads und runter blättern zum "datastream_viewer" (Streamview).
Damit hatte ich das erste Programm gefunden, welches ADS finden und auch löschen konnte.
- Laufwerk auswählen (evtl Pfad noch)
- Scan
- ADS (Stream) markieren
- Stream löschen
- alternativ: alle Streams diesen Typs löschen
Super Sache. Nächste kleiner
- Photoshop.exe war auch behaftet. Allerdings durch eine komische Nummer (ähnlich einer CLSID) und noch was (also doppelt).
Zurück im GMER und nachgeschaut und eben gelöscht.
Photoshop läuft trotzdem
Also die Kombination aus Streamview und GMER ist schon toll.
Ich bin dann noch auf StreamFinder gestossen, allerdings findet der nicht alles.
http://www.gaijin.at/dlstreamfind.php
Sei daher nur erwähnt, aber nicht empfohlen.
Warum sind ADS (Streams) nun so wichtig?
Dazu nochmal auf den heise-Artikel verlinkt:
http://www.heise.de/security/Gefahr-aus-der-Schattenwelt--/artikel/52139
Diese Streams sind eigentlich Dateien, auch ausführbar. Nur werden sie nicht angezeigt
im Explorer, weder noch, da nützen auch "alle Dateien anzeigen" und Attribute nichts.
Die Problematik steckt jedoch im Dateil, wenn man auf die nächste Seite blättert:
ADS-Dateien wollen sich nicht immer finden lassen!
Ich verlinke hier bewusst nochmal auf den Beitrag von Quhno:
https://www.supernature-forum.de/si...n-w32-sircam-worm-eingefangen.html#post820883
Die Essenz nochmal daraus:
Ein infiziertes System lässt sich nicht bereinigen bzw reparieren!
Wir predigen daher nicht umsonst, man möge formatieren oder ein sauberes Image
zurückspielen. Nur der Entwickler weiss, welche Fallen eingebaut wurde.
Alles andere ist nur Zeitverschwendung.
*Anmerkung zu Gmer:
Gmer legt 4 Dateien unter \Windows an (eine davon unter \system32), um
arbeiten zu können. Danach einfach \Windows nach "gmer*" durchsuchen und löschen.
Weiterführende Links:
http://www.techsupportforum.com/sec...log-help-inactive/292968-bz-virtual-link.html
http://www.heise.de/security/Gefahr-aus-der-Schattenwelt--/artikel/52139
http://de.wikipedia.org/wiki/Alternate_Data_Streams
http://www.pbk-solutions.de/service/kb/4-softbetriebssysteme/55-ntfs-zoneidentifier.html
http://www.safer-networking.org/de/paragraphs/tools_ads.html
http://www.sven-of-nine.de/
http://www.gaijin.at/dlstreamfind.php
BufferZone (nicht empfohlen)
http://www.trustware.com/
