Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- AntiVir PE --

1. Aus der Werbung (www.free-av.com)

"AntiVir PE

The private and individual use of the AntiVir Personal Edition is completely
free of charge! Even though viruses have now grown very numerous, one thing hasn't changed: our commitment to provide you with all-round protection."

...

"always among the winners of comparison test featured in computer journals"

...

Quality "Made in Germany"

 

2. Version und Konfiguration

 

Getestet wurde ausserdem mit der älteren Version 6.16.08.60. Weiterhin wurden am 2.12.2002 und am 11.12.2002 jeweils ein Nachtest durchgeführt.



3. On-Demand-Scanner

 

Es wurden 22 von 100 Schädlingen identifiziert.

 

 

Für einige verschlüsselte bzw. laufzeitkomprimierte Server wurden offenbar spezielle Signaturen erstellt. Eine brauchbare Unpacking Engine lässt sich aber nicht erkennen. Ansonsten hätten auch die anderen Server, die mit dem jeweiligen Packer (UPX, PECompact) bzw. Crypter (Winkript, Netwalker, Noodlecrypt) behandelt wurden, identifiziert werden müssen.

Als sehr negativ ist uns aufgefallen, dass die hexeditierten Bionet 3.18 und OptixPro 1.2 Server, bei denen jeweils nur der String "Optix" bzw. "Bionet" ersetzt wurde, nicht entdeckt werden konnten. Dies deutet auf qualitativ minderwertige Signaturen hin (siehe dazu auch --> "The Art of Patching"). Ausserdem wurde Institution 1.2 und Bionet 4 nicht erkannt. Dies spricht gegen die Aktualität bzw. Vollständigkeit der Signaturdatenbank dieses Scanners.

Eine ältere Version von AntiVir PE wurde mit einem kleineren Archiv getestet. Die Ergebnisse fallen ähnlich aus. Aufgefallen ist uns, dass Lithium103XBytePro(FSG)Packed nur unzuverlässig erkannt wurde. Bei der aktuellen Version 6.16.14.68 wurde dieses Sample erst durch den On-Access-Scanner identifiziert.

4. On-Access-Scanner

Der On-Access-Scanner erkannte einige Malwaresamples, die der On-Demand-Scanner übersehen hatte. Darunter Bionet3.18un-packedXByteProFSG sowie Lithium103XByteProFSGpacked. Die Erkennung erfolgte aber nicht zuverlässig. Möglicherweise läuft hier etwas beim sog. "Flagging" schief. (Hintergrund: On-Access-Scanner versehen bereits gescannte Files oftmals mit einem Flag und merken sich auf diese Weise, dass sie bereits gescannte Dateien bis zum nächsten Signaturupdate nicht nochmals überprüfen müssen. Dies spart Zeit. Allerdings dürfen natürlich keine infizierten Dateien geflagged werden.).

Jedenfalls konnte auch der On-Access-Scanner die totale Verseuchung des Computers nicht verhindern. OptixPro1.2ServerStandardXitopHexedited schickte ihn mit gewohnt zuverlässiger Präzision in die ewigen Jagdgründe. Auf dem Screenshot erinnert nur noch das in der Taskleiste eingefrorene AntiVir-Symbol an die ehemals vorhandene Scheinsicherheit. Aus dem Arbeitspeicher wurde der On-Access-Scanner dagegen längst entfernt ...

5. Testarchiv (100 Malwaresamples)







6. Nachtest

Die Nachtests mit dem Stanardarchiv führten zu keinen besseren Ergebnissen. Nachfolgend die beiden Scanprotokolle:

 

a) Test vom 2.12.2002

Versionsinformationen:

AVEWIN32.DLL : v6.16.0.0 360960 10.09.2002 09:51:42
AVGNT.EXE : v6.16.00.08 73728 09.10.2002 13:24:48
AVGUARD.EXE : v6.16.00.02 139304 10.09.2002 09:26:56
GUARDMSG.DLL : v6.16.00.02 61480 10.09.2002 09:29:02
AVGCMSG.DLL : v6.16.00.14 163840 09.10.2002 13:23:26
AVGNTDD.SYS : v6.12.01.00 34632 08.02.2002 14:09:12
AVPACK32.DLL : v6.15.00.01 315432 09.10.2002 07:40:08
AVGETVER.DLL : v6.15.00.00 73728 19.08.2002 10:58:20
AVWIN.DLL : v6.16.00.04 602152 25.09.2002 11:42:04
AVSHLEXT.DLL : v6.15.00.00 57344 20.08.2002 10:49:48
AVSched32.EXE : v6.15.00.00 106536 19.08.2002 10:58:20
AVSched32.DLL : v6.15.00.00 122880 19.08.2002 10:58:20
AVREG.DLL : v6.12.00.54 90152 19.08.2002 10:58:20
AVRep.DLL : v6.16.00.17 176168 27.11.2002 13:13:40
CTL3D32.DLL : v2.31.000 27136 18.08.2001 13:00:00
MFC42.DLL : v6.00.8665.0 995383 31.07.2000 05:35:22
MSVCRT.DLL : v7.0.2600.0 (xpclient.010817-1148
MSVCRT.DLL : v7.0.2600.0 (x 322560 18.08.2001 13:00:00
CTL3DV2.DLL : Keine Information

D:\VIRENTEST\SCANTEST\SCANTEST2
assasin11.exe
Enthält Signatur von BDS/Assasin.Srv Datei wurde durch Schädling zerstört!
asylum013unpacked.exe
Enthält Signatur von TR/Asylum.013.Srv Datei wurde durch Schädling zerstört!
Bionet318netwalker.exe
Enthält Signatur von BDS/Bionet-318.Srv2 Datei wurde durch Schädling zerstört!
Bionet318petite22un-packed.exe
Enthält Signatur von BDS/Bionet-318.Srv2 Datei wurde durch Schädling zerstört!
Bionet318ungepackt.exe
Enthält Signatur von BDS/Bionet-318.Srv2 Datei wurde durch Schädling zerstört!
Bionet318UPX.exe
Enthält Signatur von BDS/Bionet-318.Srv2 Datei wurde durch Schädling zerstört!
Lithium103standard.exe
Enthält Signatur von BDS/Lithium.103.Srv Datei wurde durch Schädling zerstört!
Netdevil12netwalker.exe
Enthält Signatur von BDS/NetDevil.14.Srv Datei wurde durch Schädling zerstört!
Netdevil12petite22un-packed.exe
Enthält Signatur von BDS/NetDevil.14.Srv Datei wurde durch Schädling zerstört!
Netdevil12ungepackt.exe
Enthält Signatur von BDS/NetDevil.14.Srv Datei wurde durch Schädling zerstört!
Netdevil12UPX.exe
Enthält Signatur von BDS/NetDevil.14.Srv Datei wurde durch Schädling zerstört!
Netdevil12WinKript.exe
Enthält Signatur von BDS/NetDevil.14.Srv Datei wurde durch Schädling zerstört!
Netdevil15tElock098.exe
Enthält Signatur von BDS/NetDevil.14.Srv Datei wurde durch Schädling zerstört!
Netdevil15Winkript.exe
Enthält Signatur von BDS/NetDevil.14.Srv Datei wurde durch Schädling zerstört!
OptixKiller.exe
Enthält Signatur von BDS/OptKill.30.Srv Datei wurde durch Schädling zerstört!
optixlite04unpacked.exe
Enthält Signatur von BDS/Optix.04.L.Srv Datei wurde durch Schädling zerstört!
optixlite5.exe
Enthält Signatur von BDS/OptixLite.Srv Datei wurde durch Schädling zerstört!
optixpro12konfiguriert.exe
Enthält Signatur von BDS/Optix.12.Srv Datei wurde durch Schädling zerstört!
optixpro12standard.exe
Enthält Signatur von BDS/Optix.12.Srv Datei wurde durch Schädling zerstört!
Sparta11standard.exe
Enthält Signatur von BDS/Spartado.11.Srv Datei wurde durch Schädling zerstört!
theefLe111unpacked.exe
Enthält Signatur von BDS/TheeFle.111.Srv Datei wurde durch Schädling zerstört!
theeflite1.11jojopatch.exe
Enthält Signatur von BDS/TheeFle.111.Srv Datei wurde durch Schädling zerstört!

Ende des Suchlaufs: 02.12.2002 00:22
Benötigte Zeit: 00:08 min

0 Verzeichnisse wurden durchsucht
112 Dateien wurden geprüft (ohne OptixLite04nKAVpatched)
0 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Verdächtige Programme wurden entfernt
22 Verdächtige Programme wurden gefunden

************************************************************************

b) Test vom 11.12.2002 mit Version 6.17.00.51

Versionsinformationen:

AVEWIN32.DLL : v6.17.0.2 332288 29.11.2002 12:05:10
AVGNT.EXE : v6.17.00.17 98344 05.12.2002 11:03:20
AVGUARD.EXE : v6.17.00.01 176168 19.11.2002 15:05:54
GUARDMSG.DLL : v6.17.00.01 98344 19.11.2002 15:07:14
AVGCMSG.DLL : v6.17.00.30 204840 19.11.2002 16:10:56
AVGNTDD.SYS : v6.17.00.00 27863 20.11.2002 11:56:50
AVPACK32.DLL : v6.15.00.01 315432 09.10.2002 07:40:08
AVGETVER.DLL : v6.15.00.00 73728 19.08.2002 10:58:20
AVWIN.DLL : v6.17.00.04 466984 03.12.2002 11:30:04
AVSHLEXT.DLL : v6.15.00.00 57344 20.08.2002 10:49:48
AVSched32.EXE : v6.15.00.00 106536 19.08.2002 10:58:20
AVSched32.DLL : v6.15.00.00 122880 19.08.2002 10:58:20
AVREG.DLL : v6.12.00.54 90152 19.08.2002 10:58:20
AVRep.DLL : v6.17.00.06 180264 11.12.2002 10:44:26
INETUPD.EXE : v6.15.00.00 147456 09.10.2002 07:40:08
INETUPD.DLL : v6.15.00.00 143360 09.10.2002 07:40:08
CTL3D32.DLL : v2.31.000 27136 18.08.2001 02:00:00
MFC42.DLL : v6.00.8665.0 995383 18.08.2001 02:00:00
MSVCRT.DLL : v7.0.2600.1106 (xpsp1.020828-1920
MSVCRT.DLL : v7.0.2600.1106 323072 29.08.2002 02:43:26
CTL3DV2.DLL : Keine Information

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\SCANTEST
assasin11.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Assasin.Srv
asylum013unpacked.exe
Ist das Trojanische Pferd TR/Asylum.013.Srv
Bionet318netwalker.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Bionet-318.Srv2
Bionet318petite22un-packed.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Bionet-318.Srv2
Bionet318ungepackt.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Bionet-318.Srv2
Bionet318UPX.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Bionet-318.Srv2
Lithium103standard.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Lithium.103.Srv
Netdevil12netwalker.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/NetDevil.14.Srv
Netdevil12petite22un-packed.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/NetDevil.14.Srv
Netdevil12ungepackt.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/NetDevil.14.Srv
Netdevil12UPX.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/NetDevil.14.Srv
Netdevil12WinKript.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/NetDevil.14.Srv
Netdevil15tElock098.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/NetDevil.14.Srv
Netdevil15Winkript.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/NetDevil.14.Srv
optix04nKAVsignaturepatched.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Optix.04.Srv
OptixKiller.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/OptKill.30.Srv
optixlite04unpacked.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Optix.04.L.Srv
optixlite5.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/OptixLite.Srv
optixpro12konfiguriert.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Optix.12.Srv
optixpro12standard.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Optix.12.Srv
Sparta11standard.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Spartado.11.Srv
theefLe111unpacked.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/TheeFle.111.Srv
theeflite1.11jojopatch.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/TheeFle.111.Srv

Ende des Suchlaufs: 11.12.2002 08:17
Benötigte Zeit: 00:14 min

0 Verzeichnisse wurden durchsucht
113 Dateien wurden geprüft
0 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Virus bzw. unerwünschtes Programme wurden entfernt
23 Viren bzw. unerwünschte Programme wurden gefunden

********************************************************

 

 

Positiv viel uns bei den Nachtests auf, dass der On-Access-Scanner (sofern die Einstellung "alle Dateien scannen" aktiviert wurde) die mit Armadillo 201 bzw. 220 gepackten Bionet- und Optixserver am Start hindern konnte. Das von Armadillo benutzte .tmp File wurde erkannt und geblockt. Negativ vielen uns wiederum Unzuverlässigkeiten bei der Erkennung einzelner mit FSG gepackter Trojaner auf (siehe oben). Weiterhin wurden CyberSpy, SilentSpy, MoSucker und Y3K Pro nicht erkannt.

7. Fazit



AntiVir PE verfügt über keine brauchbare Unpacking Engine und bietet deshalb letztlich keine ausreichende Sicherheit vor gepackter bzw. gecrypteter Malware. Immerhin ist das Programm kostenlos für den Privatgebrauch erhältlich.