IT-Sicherheit
Von: Huttatta, 11.10.2008 10:42 Uhr
Hallo Experten,

ich benutze die Antivirensoftware der o.g. Hersteller zwar schon lange nicht mehr, aber trotzdem würde mich jetzt mal was interessieren. Das ist mir die Tage erst wieder eingefallen.

Steganos Antivirus benutzte zu der Zeit (vor ca. 2 bis 3 Jahren) den Kaspersky-Engine. Beide hängten an alle geprüften Dateien ein Tag, "NT Stream" oder ähnlich (weiß nicht mehr genau). Das erfuhr man komischerweise aber erst bei der Deinstallation, denn dann konnte man zumindest bei den damaligen Programmversionen auswählen, ob diese Tags wieder entfernt werden sollten oder nicht.

Einmal hatte mir eben dieser Vorgang des Entfernens der Tags zu lange gedauert, so dass ich ihn mit Klick auf den Button "Abbrechen" abbrach. Dadurch wurde mein Betriebssystem (XP Professional) schön sauber an die Wand gefahren, so dass ich es genau so schön sauber neu installieren musste. Böser Junge! Naja, jedenfalls hatte damals Steganos Antivirus ja auch die anderen Partitionen und Festplatten geprüft, und vermutlich sind da immer noch an vielen Dateien diese Tags.

Kennt jemand eine Möglichkeit, das zu prüfen und sie ggf. zu entfernen, ohne diese schädliche Anti-Schadprogramm-Software nochmal installieren zu müssen? (Abgesehen davon sind die CDs sowieso längst im Müll gelandet.) Okay, gestört hat's mich bisher nicht wirklich, denn alles funktioniert auch so. Dennoch würde mich mal eher beiläufig interessieren, ob es dafür irgendwelche Tools gibt.

LG
Huttatta



  1. Antwort von ExNicki (abgemeldet) 2
    Re: Kaspersky und Steganos
    Hi Huttatta Steganos Antivirus benutzte zu der Zeit (vor ca. 2 bis 3
    Jahren) den Kaspersky-Engine. Beide hängten an alle geprüften
    Dateien ein Tag, "NT Stream" oder ähnlich (weiß nicht mehr
    genau). Das erfuhr man komischerweise aber erst bei der
    Deinstallation, denn dann konnte man zumindest bei den
    damaligen Programmversionen auswählen, ob diese Tags wieder
    entfernt werden sollten oder nicht.
    Kaspersky verändert ADS (alternative Datenströme oder Alternate Data Streams). Man kann einer Datei so ein ADS anhängen, ohne dass Win es merkt, sogar mit einem banalen DOS-Befehl, zB
    echo geheimer Text > readme.txt:secret
    fügt der Datei readme.txt den Stream secret zu
    um den Stream auslesen zu können, muss man seinen Namen wissen, in diesem Fall 'secret'
    Aufspüren kann man die Stremas mit kostenlosen Tools, zB dem ADS-Aufspürer
    http://www.safer-networking.org/de/tools/tools_ads.html

    entfernen kann man zu Fuss am einfachsten, in dem man die "betroffenen" Dateien in eine FAT-Partition kopiert und wieder zurück

    Mit dem Tool hier kann man anscheinend Streams sowohl aufspüren als auch löschen (nicht getestet)
    http://www.freeware.de/download/streamsviewer_27532....

    Gruss
    ExNicki
    3 Kommentare
    • von Huttatta 0
      Re^2: Kaspersky und Steganos
      Hallo ExNicki,

      sehr interessant! Und danke für die Links. Der Tipp mit dem Hin- und Herkopieren zu und von einer FAT-Partition ist aber genau das, wonach ich gesucht habe: Es geht einfach und ich kann nix durch falsche Auswahl etc. kaputtmachen. Wenn so alle Streams vollständig entfernt werden, ist das klasse.

      Wenn ich richtig verstanden habe, können also FAT-Partitionen keine solche Streams speichern. Da man sein System ja auch nur auf FAT-Partitionen basieren lassen kann, folgere ich, dass diese Streams nicht wirklich gebraucht werden, denn so ziemlich alle Windows-Programme (bis einschl. Win XP) laufen ja auch problemlos auf FAT-Partitionen. Demzufolge sollte man sämtlche Streams auch ohne Schaden löschen können. Stimmt das?

      Wenn dem so ist, frage ich mich, warum es mir damals das System gehimmelt hat (weiß nicht mehr, ob es die Partition oder Windows war). Außerdem verstehe ich den Sinn nicht ganz, da eine Menge Streams (z.B. nach intensiver Virensuche mit Steganos in fast allen Dateitypen) doch auch sicher eine Menge Speicherplatz belegen. Und warum ist nicht gleich im Betriebssystem ein Programm zum Durchsuchen und Löschen der Streams enthalten, wenn sie sowieso nicht wirklich gebraucht werden? Wer nutzt die Dinger? Entwickler? Okay, die Möglichkeit, Checksummen o.ä. zu speichern, mag sinnvoll sein, aber wenn die so leicht vom Benutzer manipuliert werden können, ist das doch sicher auch für Viren & Co. kein Problem.

      Oder habe ich das jetzt völlig in den falschen Hals bekommen?

      LG
      Huttatta
    • von ExNicki (abgemeldet) 0
      Re^3: Kaspersky und Steganos
      Hi Huttatta
      sehr interessant! Und danke für die Links. Der Tipp mit dem
      Hin- und Herkopieren zu und von einer FAT-Partition ist aber
      genau das, wonach ich gesucht habe: Es geht einfach und ich
      kann nix durch falsche Auswahl etc. kaputtmachen. Wenn so alle
      Streams vollständig entfernt werden, ist das klasse.

      Wenn ich richtig verstanden habe, können also FAT-Partitionen
      keine solche Streams speichern.
      richtig. Das geht nur mit NTFS-Partitionen Da man sein System ja auch nur
      auf FAT-Partitionen basieren lassen kann, folgere ich, dass
      diese Streams nicht wirklich gebraucht werden, denn so
      ziemlich alle Windows-Programme (bis einschl. Win XP) laufen
      ja auch problemlos auf FAT-Partitionen. Demzufolge sollte man
      sämtlche Streams auch ohne Schaden löschen können. Stimmt das?
      eigentlich ja.
      Win braucht die Streams zB zu Vorschaubildern, oder um die Metadaten zu speichern, die du unter Eigenschaften abrufen kannst. Seit SP2 speichert XP auch ein Zone Identifier in Dateien, die aus dem Internet geladen werden, um nachträglich die Dateien zu erkennen. Wirklich überlebensnotwenig sind die Streams aber nicht.Auch nicht ganz ungefährlich, weil Virendesigner die Streams natürlich auch missbrauchen können. Wenn dem so ist, frage ich mich, warum es mir damals das
      System gehimmelt hat (weiß nicht mehr, ob es die Partition
      oder Windows war). Außerdem verstehe ich den Sinn nicht ganz,
      da eine Menge Streams (z.B. nach intensiver Virensuche mit
      Steganos in fast allen Dateitypen) doch auch sicher eine Menge
      Speicherplatz belegen. Und warum ist nicht gleich im
      Betriebssystem ein Programm zum Durchsuchen und Löschen der
      Streams enthalten, wenn sie sowieso nicht wirklich gebraucht
      werden? Wer nutzt die Dinger? Entwickler? Okay, die
      Möglichkeit, Checksummen o.ä. zu speichern, mag sinnvoll sein,
      aber wenn die so leicht vom Benutzer manipuliert werden
      können, ist das doch sicher auch für Viren & Co. kein Problem.
      yep, siehe oben
      Es ist halt, wie so oft, ein zweischneidiges Schwert.

      Gruss
      ExNicki