Mi máquina con Windows 10 tiene una gran cantidad de flujos de datos alternativos NTFS nombrados Win32App_1
adjuntos a varias carpetas en toda la unidad del sistema. El detector de flujo de NoVirusThanks los detecta como $DATA
flujos de tamaño cero .
¿Alguien sabe qué pudo haber creado estas transmisiones?
El análisis sin conexión de Windows Defender no detecta nada no deseado.
También estoy viendo muchas Zone.Identifier
$DATA
transmisiones, aunque ya sé que son simplemente transmisiones de metadatos de Windows para identificar el origen de un archivo que se descargó de Internet. No estoy preocupado por ellos en absoluto.
Instalé Windows 10 yo mismo en un disco en blanco, por lo que el fabricante no los agregó. No puedo publicar ejemplos porque ya eliminé las transmisiones.
Actualización a partir del 2017-04-18: Acabo de escanear mi máquina nuevamente, y las secuencias de datos alternativas están de vuelta. El uso more < C:\path\to\alternate_data_stream:Win32App_1
muestra que el contenido de la transmisión no es nada, de acuerdo con los resultados informados por el Detector de transmisiones de NoVirusThanks. He configurado el Monitor de procesos de SysInternals para buscar procesos que están creando / tocando esas secuencias de datos alternativas, y actualizaré esta pregunta si veo algo como resultado de ese monitoreo.
Solo para tu información, ya he investigado mucho sobre esto. Mi primer contacto con flujos de datos alternativos fue cuando NTFS se anunció por primera vez a principios de los 90. No estoy tan preocupado por los ADS en sí, ya que todos son de tamaño cero, pero más o menos es potencialmente un "canario en la mina de carbón" para algunos malware.
He comenzado una utilidad de línea de comandos de código abierto que identifica y opcionalmente elimina los flujos de datos alternativos NTFS. El proyecto está alojado en gitHub en caso de que alguien lo encuentre útil.
A partir del 10 de mayo, he podido observar que otras máquinas con Windows 10 que no son de mi propiedad ni que he tocado tienen las secuencias de datos alternativas llamadas Win32App_1 adjuntas a varias carpetas en toda la unidad del sistema. Parecen estar relacionados con Windows 10 en sí. Espero que se utilicen en algún tipo de proceso de catalogación.