|
VSantivirus No. 912 - Año 7 - Domingo 5 de enero de 2003
Flujo de datos, riesgo de virus en Windows XP, 2000 y NT
http://www.vsantivirus.com/dfm-streams.htm
Por David Fernández Madrid
idoru@videosoft.net.uy
Una característica que incorpora el sistema de archivos de NT/W2000/XP (NTFS) son los flujos alternativos de datos (ADS, Alternate Data Streams) por compatibilidad con MAC.
Un archivo es una abstracción de un flujo de datos entre el disco duro y los programas de usuario y NTFS nos permite asociar bajo un mismo nombre de archivo varios flujos de datos aparte del principal, diferenciados por un nombre.
Para crear un flujo alternativo de datos desde MS-DOS escribimos:
echo Esto es un ADS > ejemplo.txt:prueba.txt
Veremos que se ha creado un archivo de 0 bytes con el nombre "ejemplo.txt". Si lo abrimos con el bloc de notas (notepad) veremos que esta vacío, pero si abrimos el flujo no principal de nombre "prueba.txt":
notepad ejemplo.txt:prueba.txt
Veremos que efectivamente no esta vacío. Esto puede ser utilizado para introducir un ejecutable dentro del archivo.
type c:\winnt\system32\cmd.exe
> ejemplo2.txt:programa.txt
De este modo quedaría el código del archivo en el flujo "programa.txt". Si modificamos el flujo principal para que ejecute el flujo "programa.txt", tendremos un archivo que al abrirlo ejecutará cualquier otra clase de archivo que hallamos metido en el flujo alternativo. Para ejecutar un archivo introducido en un ADS se utiliza el comando MS-DOS "start", WSH (Windows Scripting Host) o una clave en el registro.
Esta característica puede ser utilizada para esconder información en el sistema o para introducir virus silenciosamente en una computadora. Debido a que los programas antivirus tienen que realizar un escaneo extra para detectar las ADS muchos prefieren no hacerlo ya que no están muy extendidos los virus hasta la fecha que aprovechen esta característica. Dos virus conocidos que usan los ADS son VBS/Stream y W2KStreams del grupo 29A .
Tras analizar varios de los programas punteros en cuanto a detección de virus y troyanos se ha descubierto que solo AVP y Panda realizan un escaneo de los ADS en busca de virus. Es más, en productos como Norton 2002, Dr.Web y Tauscan un virus introducido en un ADS puede ser ejecutado sin que lo detecte el modulo monitor o el escáner.
La forma que tienen de ejecutarse los archivos que están dentro de un ADS hace que no sean aptos para mandarlos por e-mail, tan solo a los clientes de correo como Eudora que sitúan los adjuntos como archivos aparte de los mensajes les podría afectar. En cambio podría ser una forma muy dañina de distribuir virus en las redes P2P.
Con la buena cuota de penetración que tienen NT, W2000 y XP en sus respectivos mercados hacen de los ADS una cosa a tener en cuenta en los futuros desarrollos de productos antivirus y antitroyanos.
Relacionados:
LADS - List Alternate Data Streams
(nos permite escanear directorios en busca de ADS)
http://www.heysoft.de/Frames/f_sw_la_en.htm
VBS/Potok@mm (Stream, VDrive). Utiliza sistemas NTFS
http://www.vsantivirus.com/stream-a.htm
W32/Press (Win32.HIV). ¿Moda de virus auto-actualizables?
http://www.vsantivirus.com/press.htm
Win32.HIV. Nuevas técnicas y constante actualización
http://www.vsantivirus.com/hiv.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|