Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- AVG Anti-Virus --

1. Aus der Werbung (www.grisoft.com)

"Use our unique offer - AVG 6.0 Free Edition. Download, install and use AVG 6.0 Anti-Virus system to reliably protect your computer and data free of charge."

...

"[...] either you are computer expert or novice at home or whether you are browsing hundreds of Internet sites daily, or you use emails or floppy discs only, you are safe."

 

2. Version und Konfiguration

Anm.: Die Option "Internally compressed" bedeutet laut AVG-Hilfe, dass auch gepackte Malware erkannt werden kann. Dies lässt also hoffen...

3. On-Demand-Scanner

In unserem am 11.01.2003 durchgeführten Test mit dem Standard-Testset konnte der AVG-Scanner nur 14 Trojaner erkennen:

Auf den ersten Blick ein ernüchterndes Ergebnis. Von den 16 in ungepackter Form vorliegenden Backdoor-Trojanern wurden sagenhafte fünf Stück erkannt. AVG scheint folglich nur sehr geringen Wert auf die Erkennung dieser gefährlichen Malware-Art zu legen.
Immerhin konnte AVG mit den manuell ge- und wieder entpackten Trojaner-Samples umgehen.
Dafür genügt es zumindest bei OptixPro1.2, einen einzigen Text-String per Hex-Editor zu ändern, um den Server vor AVG zu verstecken.

Doch am Ende des Testsets wartete eine positive Überraschung: AVG konnte vier der fünf UPX-gepackten TheefLe-Server erkennen! Dies kann nur mit einer halbwegs vernünftigen UPX-Unpack-Engine erreicht werden. Leider hat diese Unpack-Routine offenbar Probleme mit früheren Versionen des beliebten Runtime-Packers, denn es wurden nur die Samples erkannt, die mit einer neueren Version als UPX 0.84 komprimiert wurden.

4. On-Access-Scanner

Mit den wenigen ungepackten Trojanern, die auch im On-Demand-Test erkannt wurden, hatte auch der Hintergrund-Wächter keine Probleme.
Interessanter war für uns aber die Frage, wie der Monitor mit den UPX-gepackten TheefLe-Servern umgehen würde.
Die Antwort können sie dem folgenden Bild entnehmen:

Während der ungepackte TheefLe erkannt und am Start gehindert wurde, konnte sich der mit UPX1.08 gepackte Server unbemerkt am "AVG Resident Shield" vorbeimogeln (im Taskmanager rot markiert.) Das gleiche gelang auch den anderen UPX-gepackten Test-Samples.
Daraus schließen wir, dass die Unpack-Fähigkeiten von AVG nur beim On-Demand-Scan eingesetzt werden. Der Wächter bietet dagegen keinerlei Schutz vor gepackter Malware.

5. Fazit

Obwohl AVG in unserem Test - als einziger der kostenlosen AV-Scanner - immerhin den Ansatz einer Unpack-Engine erkennen ließ, so ist doch die Gesamtperformance eher bescheiden. Neben der ungenügenden Erkennung von ungepackten Trojanern, enttäuschte der Scanner vor allem durch die Beschränkung der (ohnehin nur minimalen) Unpack-Fähigkeiten auf den On-Demand-Scanner.

Aus diesem Grund ordnen wir AVG unter die Viren-Scanner ohne "brauchbare Unpack-Engine" ein.