Startseite > ADS, Kaspersky, OSSEC, OSSIM, Spyware, Trojaner > wundersamer NTFS ADS Fund

wundersamer NTFS ADS Fund


Hi Gemeinde,

heute habe ich mal wieder was interessantes zum Thema NTFS Alternate Data Stream (ADS).
Nachdem ich heute mal ein bisschen mit OSSIM und OSSEC rumgespielt habe, hatte ich folgendes Problem:
Nachdem alles installiert war und OSSEC den ersten Scan auf meiner Windoof Büchse durchgeführt hatte, hatte ich plötzlich in der Anomalie Übersicht seltsame Einträge. Alles deutete auf ein echtes Trojaner- oder Spywareproblem hin.
Beinahe jede Datei auf der Windoof Kiste war mit einem ADS Anhängsel versehen names „KAVICHS“.
Zuerst dachte ich der OSSEC Agent spinnt und habe mir dann noch den ADS Detektor heruntergeladen. Das Ding hat genau die gleichen Ergebnisse angezeigt. Also war hier was faul!
Nach kurzer Recherche hatte ich den Übeltäter entlarvt. Schuld ist der Kaspersky Virenscanner gewesen, den ich mal testweise installiert hatte. Das Ding hat Informatinen wie z.B. die Checksumme an jede Datei als ADS angehängt. Tolle Wurst. Dank ADS Detektor waren die Anhängsel schnell entfernt und mein OSSEC hatte nichts zu meckern 😉

Alternativ kann man auch den Remover von Kaspersky benutzen. Downloadlink

Gruß NF

Advertisements
  1. Es gibt noch keine Kommentare.
  1. No trackbacks yet.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: