Fluxo de dados alternativo "Win32App_1" anexado a um grande número de pastas

Minha máquina Windows 10 possui um grande número de fluxos de dados alternativos NTFS nomeados Win32App_1anexados a várias pastas em toda a unidade do sistema. O Detector de Fluxo do NoVirusThanks os detecta como sendo $DATAfluxos de tamanho zero .

Alguém sabe o que pode ter criado esses fluxos?

A verificação offline do Windows Defender não detecta nada indesejado.

Também estou vendo muitos Zone.Identifier $DATAfluxos, embora eu já saiba que esses são simplesmente fluxos de metadados do Windows para identificar a origem de um arquivo que foi baixado da Internet. Não estou preocupado com eles.

Eu instalei o Windows 10 em um disco em branco, para que não fossem adicionados pelo fabricante. Não consigo postar exemplos porque já removi os fluxos.

Atualizar a partir de 18/04/2017: Acabei de verificar minha máquina novamente e os fluxos de dados alternativos estão de volta. O uso more < C:\path\to\alternate_data_stream:Win32App_1mostra que o conteúdo do fluxo é nada, consistente com os resultados relatados pelo Stream Detector da NoVirusThanks. Eu configurei o Process Monitor da SysInternals para procurar processos que estão criando / tocando nesses fluxos de dados alternativos e atualizarei essa pergunta se eu vir alguma coisa como resultado desse monitoramento.

Apenas para sua informação, eu já fiz muita pesquisa sobre isso. Meu primeiro contato com fluxos de dados alternativos foi quando o NTFS foi anunciado pela primeira vez no início dos anos 90. Não estou muito preocupado com o próprio ADS, uma vez que todos têm tamanho zero, mas mais ou menos isso é potencialmente um "canário na mina de carvão" para alguns malwares.

Iniciei um utilitário de linha de comando de código-fonte aberto que identifica e opcionalmente remove os fluxos de dados alternativos do NTFS. O projeto está hospedado no gitHub , caso alguém ache útil.

Em 10 de maio, pude observar que outras máquinas Windows 10 que não pertencem ou foram tocadas por mim têm os fluxos de dados alternativos chamados Win32App_1 anexados a várias pastas na unidade do sistema. Eles parecem estar relacionados ao próprio Windows 10. Espero que eles sejam usados ​​em algum tipo de processo de catalogação.

O fluxo de dados alternativo do Win32App_1 é criado pelo serviço "Serviço de armazenamento" que faz parte do sistema operacional Windows. Versões do serviço anteriores ao Windows 10 não parecem criar esses fluxos.

Se você usar um visualizador executável portátil, como a dumpbin.exeferramenta disponível no Visual Studio 2017, para examinar as seções de recursos %SystemRoot%\System32\StorSvc.dll, poderá ver o Win32App_1 referenciado várias vezes.

Executei o Sysinternals Process Monitor por cerca de uma semana para determinar qual processo estava criando os fluxos de dados alternativos do Win32App_1. Ele mostrou SvcHost.execom uma linha de comando -k LocalSystemNetworkRestricted -s StorSvccomo o processo de criação dos fluxos. O Serviço de Armazenamento parece ser usado pelo applet "Armazenamento" no aplicativo "Configurações" .

Usei o seguinte para validar as configurações do Serviço de Armazenamento / Armazenamento como a origem dos fluxos:

1. Usei meu aplicativo ADSIdentifier para identificar e remover todos os fluxos denominados Win32App_1:
   linha de comando:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
2. Parei e reiniciei o serviço "Serviço de armazenamento".
   net stop "storage service"
net start "storage service"
3. Depois que o serviço estava em execução, abri o aplicativo "Configurações", fui para a seção "Armazenamento", cliquei na unidade do sistema (C :) para exibir os detalhes "Uso de armazenamento" da unidade.
4. Executei novamente o ADSIdentifier e vi que os fluxos haviam sido recriados. linha de comando:ADSIdentifier /folder:C:\ /pattern:Win32App_1

A regra fundamental da computação é: Um arquivo ou fluxo vazio por si só não pode representar uma ameaça.

No entanto, é possível que um aplicativo (benevolente ou malévolo) atribua um significado à mera existência de um arquivo vazio ou fluxo alternativo, como um sinal por arquivo. A experiência me diz que isso é raro.

Nesse caso, gostaria de obter uma resposta prática: faça uma lista completa dos arquivos que possuem esses fluxos, exclua esses fluxos e fique vigilante por alguns dias para descobrir o que os cria. É muito possível que eles não sejam recriados. Se você encontrar uma anomalia como resultado da perda desses fluxos, restaure-os usando sua lista.