Secuencia de datos alternativa "Win32App_1" adjunta a una gran cantidad de carpetas

6

Mi máquina con Windows 10 tiene una gran cantidad de flujos de datos alternativos NTFS nombrados Win32App_1adjuntos a varias carpetas en toda la unidad del sistema. El detector de flujo de NoVirusThanks los detecta como $DATAflujos de tamaño cero .

¿Alguien sabe qué pudo haber creado estas transmisiones?

El análisis sin conexión de Windows Defender no detecta nada no deseado.

También estoy viendo muchas Zone.Identifier $DATAtransmisiones, aunque ya sé que son simplemente transmisiones de metadatos de Windows para identificar el origen de un archivo que se descargó de Internet. No estoy preocupado por ellos en absoluto.

Instalé Windows 10 yo mismo en un disco en blanco, por lo que el fabricante no los agregó. No puedo publicar ejemplos porque ya eliminé las transmisiones.

Actualización a partir del 2017-04-18: Acabo de escanear mi máquina nuevamente, y las secuencias de datos alternativas están de vuelta. El uso more < C:\path\to\alternate_data_stream:Win32App_1muestra que el contenido de la transmisión no es nada, de acuerdo con los resultados informados por el Detector de transmisiones de NoVirusThanks. He configurado el Monitor de procesos de SysInternals para buscar procesos que están creando / tocando esas secuencias de datos alternativas, y actualizaré esta pregunta si veo algo como resultado de ese monitoreo.

Solo para tu información, ya he investigado mucho sobre esto. Mi primer contacto con flujos de datos alternativos fue cuando NTFS se anunció por primera vez a principios de los 90. No estoy tan preocupado por los ADS en sí, ya que todos son de tamaño cero, pero más o menos es potencialmente un "canario en la mina de carbón" para algunos malware.

He comenzado una utilidad de línea de comandos de código abierto que identifica y opcionalmente elimina los flujos de datos alternativos NTFS. El proyecto está alojado en gitHub en caso de que alguien lo encuentre útil.

A partir del 10 de mayo, he podido observar que otras máquinas con Windows 10 que no son de mi propiedad ni que he tocado tienen las secuencias de datos alternativas llamadas Win32App_1 adjuntas a varias carpetas en toda la unidad del sistema. Parecen estar relacionados con Windows 10 en sí. Espero que se utilicen en algún tipo de proceso de catalogación.

Max Vernon
fuente
Es posible que desee leer este artículo: blogs.technet.microsoft.com/askcore/2013/03/24/…
Hefewe1zen

Respuestas:

5

El flujo de datos alternativo Win32App_1 es creado por el servicio "Servicio de almacenamiento" que forma parte del sistema operativo Windows. Las versiones del servicio anteriores a Windows 10 no parecen crear estas transmisiones.

Si usa un visor ejecutable portátil, como la dumpbin.exeherramienta disponible en Visual Studio 2017, para ver las secciones de recursos de %SystemRoot%\System32\StorSvc.dll, puede ver Win32App_1 referenciado varias veces.

Ejecuté Sysinternals Process Monitor durante aproximadamente una semana para determinar qué proceso estaba creando las secuencias de datos alternativas Win32App_1. Se mostró SvcHost.execon una línea de comandos -k LocalSystemNetworkRestricted -s StorSvccomo el proceso de creación de las secuencias. El servicio de almacenamiento parece ser utilizado por el applet "Almacenamiento" en la aplicación "Configuración" .

Usé lo siguiente para validar el Servicio de almacenamiento / Configuración de almacenamiento como la fuente de las transmisiones:

  1. Usé mi aplicación ADSIdentifier para identificar y eliminar todas las transmisiones llamadas Win32App_1:
    línea de comando:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. Paré y reinicié el servicio "Servicio de almacenamiento".
    net stop "storage service"
    net start "storage service"
  3. Una vez que el servicio se estaba ejecutando, abrí la aplicación "Configuración", fui a la sección "Almacenamiento", hice clic en la unidad de mi sistema (C :) para mostrar los detalles de "Uso de almacenamiento" para la unidad.
  4. Volvió a ejecutar el ADSIdentifier y vio que las transmisiones se habían recreado. línea de comando:ADSIdentifier /folder:C:\ /pattern:Win32App_1
Max Vernon
fuente
2

La regla fundamental de la informática es: un archivo o una secuencia vacía por sí solo no puede representar una amenaza.

Sin embargo, es posible que una aplicación (benevolente o malévola) asigne un significado a la mera existencia de un archivo vacío o una secuencia alternativa, como una señal por archivo. La experiencia me dice que esto es raro.

En este caso, buscaría una respuesta práctica: haga una lista completa de los archivos que tienen estas transmisiones, elimínelas y luego esté atento durante unos días para descubrir qué las crea. Es muy posible que no se vuelvan a crear. Si encuentra alguna anomalía como resultado de la pérdida de estas transmisiones, restaure usando su lista.


fuente