Kaspersky Lab ist der Meinung, dass sich die Technologie iStreams™ in Kaspersky Anti-Virus, auf die sich Russinovich bezieht, nicht von Hackern missbrauchen lässt. Aus diesem Grund ist es falsch, diese Technologie 'rootkit“ zu nennen.

Die iStreams™-Technologie wurde zur Erhöhung der Scan-Geschwindigkeit erstmals vor zwei Jahren in Version 5 der Kaspersky Anti-Virus-Produkte implementiert. Diese Produktlinie nutzt NTFS Alternate Data Streams, um die Prüfsummen der Dateien auf einem System aufzunehmen: bleibt die Prüfsumme einer Datei zwischen zwei Scans unverändert, weiß das Kaspersky-Programm, dass diese nicht verändert wurde. Ein erneuter Scan ist nicht erforderlich.

NTFS Alternate Data Streams sind nicht mit dem bloßen Auge erkennbar – es bedarf Spezial-Tools, um sie sichtbar zu machen. Die Tatsache, dass die Datenströme nicht automatisch zu erkennen sind, bedeutet jedoch nicht automatisch, dass die zugrundeliegende Technologie von Virenschreibern missbräuchlich genutzt werden kann.

Kaspersky Lab ist aus folgenden Gründen der Meinung, dass die eingesetzte Technologie sicher ist:

1. Wenn ein Kaspersky Anti-Virus-Produkt aktiviert ist, sind die Datenströme verborgen und keine Prozesse (auch keine Systemprozesse) können auf sie zugreifen.
2. Wird das Produkt ausgeschaltet, werden die Datenströme unter Zuhilfenahmen entsprechender Tools sichtbar.
3. Wird ein Datenstrom mit (möglicherweise schadhaften) Daten oder Code umgeschrieben (bspw. beim Neustart im abgesicherten Modus), liest Kaspersky Anti-Virus den Datenstrom beim nächsten Hochfahren aus, ohne dabei sein Format zu erkennen. Kaspersky Anti-Virus beginnt daraufhin, die Prüfsummen-Datenbank neu aufzubauen. Das bedeutet, dass potenzieller Schadcode eliminiert wird.

Die Anti-Virus-Programme von Kaspersky Lab nutzen die iStreams™-Technologie, da diese dem Kunden eine signifikante Leistungserhöhung bietet.

Lediglich die Deinstallation des Produkts nimmt geringfügig mehr Zeit in Anspruch, da sämtliche Datenströme entfernt werden müssen. Aus diesem – und alleine diesem – Grund kommt in der nächsten Version von Kaspersky Anti-Virus ein alternativer Mechanismus zum Einsatz, der bei gleicher Leistungsfähigkeit auf die Technologie iStreams verzichten kann.

Eugene Kaspersky führt dieses Thema im Kaspersky-Weblog unter http://www.viruslist.com/en/weblog?weblogid=177727537 weiter aus.