Webmoney и альтернативные потоки данных (ADS) в файловой системе NTFS

Всем привет.

Я недавно заинтересовался темой альтернативных потоков данных в NTFS (a.k.a Alternate Data Streams, ADS) и в определённый момент решил посканировать файловую систему — просто ради интереса — на тему, есть ли там файлы с дополнительными потоками. Вооружившись программой Streams от Sysinternals, которая может просматривать файлы и каталоги рекурсивно, я начал сканить локальные диски.

Файлов с дополнительными потоками нашлось много. Например, Thunderbird какие-то-там-не-помню-уже потоки добавляет для файлов *.wdseml. Так же, часто можно встретить потоки «:Zone.Identifier:$DATA», которые, как я понял, добавляются в файлы, скачанные из Интернета. Размер данных в них — 46 или 26 байт. Содержимое примерно такое:

[ZoneTransfer]
ZoneId=3

Было очень интересно всё это познавать, пока я не наткнулся на каталог C:\ProgramData\TEMP, у которого нашлось аж два потока: :41ADDB8A:$DATA и :A064CECC:$DATA. Содержимое — двоичный код. При попытке погуглить названия потоков мне попадались только темы, вроде: «словил вирус», «как избавиться от трояна» и тому подобные. Причём нет никакой дополнительной информации о том, что это за потоки и что за программа их создаёт. Они упоминаются как часть листинга для OTL, который, как я понял, в процессе своей работы их удаляет.

«Отлично!» — подумал я — «Дай-ка я их тоже снесу...». Снёс. Исчезли. Через пару секунд опять появились. Опять снёс. Опять появились. Перезагрузился в безопасном режиме. Снёс. Не появились — отлично. Загружаюсь в нормальном режиме и снова проверяю — нет их. Начинаю запускать по одной обычные запущенные программы и параллельно мониторю, не появились ли они снова.

Выяснил, что эти потоки появляются после запуска Webmoney. Когда кипер запущен, он постоянно их туда добавляет после того, как я их удаляю. Стоит его закрыть, как они перестают появляться после удаления.

Я не очень опытный человек в плане работы с бинарным кодом и не знаю, как можно выяснить, что за данные в эти потоки пихаются. Однако настораживает, что кошелёк, в котором я храню какое-то количество средств, генерирует файлы, упоминаемые в темах о борьбе с вирусами.

Собственно, весь вопрос: Сталкивался ли кто-нибудь с таким поведением программы, и есть ли способы выяснить, почему Webmoney Keeper (Версия 3.9.9.1, build 3706(29194), 16.05.2013 11:36:46) занимается такой деятельностью?

В техподдержку вебмани не обращался.