Via een E-Mailtje bracht de persvoorlichter van Kaspersky Lab mij op de hoogte van een nieuw persbericht over de NTFS-virussen die vorige week ook al in het nieuws waren. In het bericht wordt onder andere geschreven dat de ADS-virussen (Alternate Data Stream) zeker niet zo onderschat moeten worden als de meeste grote anti-virus bedrijven op dit moment nog doen. Volgens een woordvoerster is het betrekkelijk eenvoudig om via de onderliggende lagen van het bestandssysteem een virus te programmeren dat zo door de detectie van alle huidige scanners heen komt. Door middel van een test heeft Kaspersky dit al bewezen. Een nieuwe versie van Kaspersky's AVP met ADS-ondersteuning zal hierom binnen zeer korte tijd uitkomen:
Kaspersky Lab considers it necessary to reconfirm its position on this matter and declares once more that the use of ADS in Windows 2000 by virus writers poses a serious potential threat for both home users and coporate–wide networks. By continuing to ignore this new method of infection, anti-virus companies risk another virus epidemic.
The main argument--which some anti-virus experts are putting forward refuting the seriousness of the threat--is the necessary modification of the main NTFS stream by the implantation of a "starting code," which activates the virus from the ADS. So, the reasoning goes, anti-virus scanners will detect this modification. This argument is flawed, because the procedure for the finding of the "starting code" seems to be extremely problematic, since this code does not differ from any other subprogram calling data from the ADS. Just imagine how many false positives will occur by using this method of detection.
“Unlike creating an antidote for a new macro-virus that takes just a couple of minutes, anti-virus companies will require at least one week to add ADS support. When true ADS-viruses appear, users will be without any protection until their anti-virus software has been upgraded," said Denis Zenkin, Head of Corporate Communications for Kaspersky Lab. "We consider that the scanning of all alternative streams has to become an essential attribute of every up-to-date anti-virus software. Taking this into account, we have already added the anti-virus support for NTFS alternative streams to Kaspersky Anti-Virus 3.5 (AVP), which will be released this week."[break]Overigens wordt mij in de E-Mail ook nog eens duidelijk gemaakt dat de persberichten over de W2K.Stream-virussen niet bedoeld zijn om aandacht te trekken, zoals veel concurrenten beweren. Al eerder voorspelde Kaspersky Labs bepaalde virusgeneraties, en kwamen deze voorspellingen ook uit. Zo had het bedrijf aanvallen via internetwormen en script-virussen al voorspeld. Ook toen werd het bedrijf voor gek verklaard, maar uit de enorme heisa over het I Love You virus is het ongelijk hiervan wel bewezen:[/break]We would also like to note that it is this very Kaspersky Lab information-policy principle-which KL has had from the very beginning-that underscores our validity. In 1997, we warned about the danger of Internet-worms spreading, and today more than 80% of all active viruses have the possibility of self-sending via e-mail. In 1998, we were once again accused of causing "virus-hysteria," because of our prediction about the development of script-viruses. Today, 70% of all virus attacks occur in this form. And concerning the "Chernobyl" virus that was first detected by Kaspersky Lab experts in 1998; even at that time, many people refused to believe in its existence altogether.
![]() |