Windows NT et 2000 utilisant le syst\u00e8me de fichiers NTFS.
","closed_at":"2000-09-08","content":"## Description\n\nL'ensemble du syst\u00e8me de fichier NTFS est g\u00e9r\u00e9 comme une base de donn\u00e9es\nrelationnelle compos\u00e9e uniquement de fichiers. Chaque fichier a une\nliste d'attributs (nom de fichier, descripteur de s\u00e9curit\u00e9, donn\u00e9es,...)\nde longueur variable. Tout fichier accepte de nouveaux attributs\ncaract\u00e9ris\u00e9s par leur nom. Un attribut est divis\u00e9 en 2 parties :\nl'ent\u00eate et le contenu, ce dernier \u00e9tant compos\u00e9 du nom de l'attribut et\nd'un flux de donn\u00e9es.\n\nUn flux de donn\u00e9es addtionnel peut donc \u00eatre cr\u00e9\u00e9 par la simple ligne de\ncommande echo \\`\\`Test de flux de donn\u00e9es addtionnel'' \\>\nfichier_existant:flux1.txt, o\u00f9 fichier_existant est un fichier pr\u00e9sent\ndans le r\u00e9pertoire courant (on ajoute un nouvel attribut de nom\nflux1.txt au fichier fichier_existant). Ni la commande dir ni\nl'explorateur de fichiers ne r\u00e9v\u00e8lent son existence. Il peut en revanche\n\u00eatre ouvert par la commande notepad fichier_existant:flux1.txt. D'autres\nflux additionnels peuvent \u00e9videmment \u00eatre ajout\u00e9s. La commande del,\nincompatible, n'est pas en mesure de les supprimer. Cependant un tel\nflux est inerte, il ne peut \u00eatre directement ex\u00e9cut\u00e9.\n\nDans l'optique d'une utilisation malicieuse, cette restriction peut \u00eatre\nfacilement contourn\u00e9e : l'essentiel du code du virus est masqu\u00e9 dans un\nflux additionnel, et il est simplement appel\u00e9 par un code minimal depuis\nle flux \\`\\`normal'' (script vba sous Word, scriptlet vbs, modification\nd'un ex\u00e9cutable,...). Le peu de code qui estalors visible par les\nantivirus ne permet pas de g\u00e9n\u00e9rer une signature : il est trop peu\ncaract\u00e9ristique pour ne pas g\u00e9n\u00e9rer de nombreuses fausses alarmes.\n\n## Solution\n\nDepuis la publication du bulletin du \\`\\`SANS Institute'' et\nl'apparition du virus Stream, il est imp\u00e9ratif que les \u00e9diteurs\nd'antivirus rendent les moteurs d'analyse compatibles avec les flux de\ndonn\u00e9es additionnels.\n\nIl est donc essentiel de mettre \u00e0 jour les bases de signature de vos\nantivirus (d\u00e9tection de Stream), de prendre contact avec vos \u00e9diteurs\npour conna\u00eetre les modalit\u00e9s d'\u00e9volution des moteurs d'analyse (achat,\nmise \u00e0 jour,...) et de prendre en compte d\u00e8s aujourd'hui le d\u00e9ploiement.\n","cves":[],"links":[{"title":"Copie du bulletin d'alerte du ``SANS Institute'' :","url":"http://securityportal.com/topnews/sans20000907.html"},{"title":"Analyse de Stream par Symantec :","url":"http://www.symantec.com/avcenter/venc/data/w2k.stream.html"}],"reference":"CERTA-2000-ALE-012","revisions":[{"description":"version initiale.","revision_date":"2000-09-08T00:00:00.000000"}],"risks":[{"description":"Prolif\u00e9ration de virus non d\u00e9tect\u00e9s par les analyseurs antivirus"}],"summary":"Le syst\u00e8me de fichier NTFS permet de cr\u00e9er des Flux de Donn\u00e9es\nAdditionnels (Alternate Data Streams) associ\u00e9s ou non \u00e0 un fichier. Il a\n\u00e9t\u00e9 relev\u00e9 d\u00e8s 1998 que cela permettait de dissimuler de l'information\npour 2 raisons essentielles :\n\n- Cette fonctionnalit\u00e9 est tr\u00e8s mal document\u00e9e par Microsoft et peu\n d'administrateurs la connaisse,\n- Beaucoup d'outils de Windows n'ont m\u00eame pas la capacit\u00e9 de g\u00e9rer ces\n flux.\n\nC'est ainsi que la commande dir ou l'