Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Avast32! Antivirus--

1. Aus der Werbung (www.avast.com)

 

"avast! offers the excellent detection of viruses, trojan horses and other malware programs, including 100% detection of viruses which have been found In the Wild."

...

"avast! is completely free of charge for home users which do not use the computer for profit."

...

"avast! = the only functional and reliable antivirus solution"

2. Version und Konfiguration

 

Anm.: Wir testeten außerdem mit der neuen Version 4.0.

 

Anm.: Die Option "Gepackte Ausführbare" deutet eigentlich auf die Existenz einer Unpacking-Engine (o.ä.) hin...




3. On-Demand-Scanner

 

Avast32 konnte von insgesamt 112 Trojanern nur 12 ungepackte erkennen. Dabei waren dem Scanner u.a. Bionet, Silentspy und y3kPro selbst im Original-Zustand nicht bekannt.
Einen Pluspunkt verbuchte Avast32 bei der Signatur-Auswahl: Die Erkennung des konfigurierten und des hex-editierten OptixPro1.2-Servers deutet auf "starke" Signaturen hin.
Die manuell entpackten (und damit nur minimal gegenüber der Originalform veränderten) Lithium1.03 und Netdevil1.2 konnte der Scanner wiederum nicht erkennen.


Kurz nach dessen Erscheinen, testeten wir noch mit der neuen Version 4.0, um eventuelle Verbesserungen feststellen zu können. Das Ergebnis war aber ernüchternd (in seiner Ähnlichkeit mit dem obigen Ergebnis...)

4. On-Access-Scanner

Der Echtzeit-Monitor konnte in unserem Stichprobentest weder positiv noch negativ überraschen.
Diejenigen Trojaner, die schon der On-Demand-Scanner finden konnte, wurden auch vom Wächter erkannt und zuverlässig am Start gehindert (im Bild: Lithium1.03).
Alle anderen Schädlinge (rot markiert) konnten sich dagegen unerkannt im RAM breitmachen.
Dazu gehörte auch (wie im Bild zu erkennen) der manuell entpackte Lithium1.03...

 

5. Fazit


Avast32 besitzt weder eine Unpacking-Engine, noch eine alternative Methode zur Erkennung von gepackter oder gecrypteter Malware. Außerdem werden selbst ungepackte Trojaner nur lückenhaft erkannt.
Dass Avast für den privaten Einsatz kostenlos ist, lässt diese Kritikpunkte sicherlich in einem etwas anderen Licht dastehen. Es gibt durchaus kostenpflichtige Produkte, die in unserer Testumgebung noch schlechter abschneiden.
Dies ändert aber nichts daran, dass Avast32 vor gepackten, gecrypteten und unbehandelten Trojanern insgesamt nur sehr unzureichenden Schutz bietet.