Die russische Virenschutzfirma Kaspersky Lab gab heute bekannt dass die Technologie iStreams beim Produkt Anti-Virus kein Rootkit ist und sich nicht von Hackern ausnutzen läßt. Vor wenigen Wochen hatte der Sicherheitsexperte Mark Russinovich die Behauptung aufgestellt dass in der Virenschutzsoftware von Kaspersky Lab die Rootkit-Technologie eingesetzt wird.
Die eingesetzte iStream-Technologie dient dazu die Scangeschwindigkeit zu erhöhen und wurde zum ersten Mal im Jahre 2004 in die Kaspersky Antiviren-Produkte der Version 5 integriert. Die Produkte der Version 5 nutzen NTFS Alternate Data Streams welche die Prüfsummen von Dateien checken und wenn eine solche Summe zwischen zwei Prüfungen unverändert bleibt ist ein weiterer Check nicht notwendig. Laut Kaspersky Lab sei es falsch diese Technologie Rootkit zu nennen.
Die NTFS Alternate Data Streams agieren unsichtbar und lassen sich nur mit speziellen Tools sichtbar machen. Nur weil die Datenströme nicht sichtbar sind sei dies kein Zeichen dafür dass diese Technologie von Viren-Autoren nutzbar ist.
Sobald ein Kaspersky Lab Virenschutz-Produkt aktiviert wurde sind die Datenströme getarnt und es können keine Prozesse eines Rechners darauf zugreifen. Wenn das Produkt deaktiviert wurde lassen sich die Datenströme mit Spezial-Tools sichtbar machen.
Sollte ein Datenstrom manipuliert werden so wird dieser beim nächsten Bootvorgang des Rechners von Kaspersky Lab ausgelesen und baut eine neue Prüfsummen-Datenbank auf, was möglichen Schadcode zerstört.
In der nächsten Version der Virenschutz-Produkte von Kaspersky Lab wird ein alternativer Mechanismus eingesetzt welcher die gleiche Leistungsfähigkeit wie die iStreams-Technologie aufweist.
