Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- AntiVirenKit 12 Professional --

1. Aus der Werbung (www.gdata.de)

"Der Nachfolger des vielfachen Testsiegers AVK 11 ist da: AVK 12 – das [B]este AntiVirenKit, das es je gab! Gründlicher mit DoubleScan-Technologie: AVK 12 professional arbeitet mit zwei integrierten Virenscanner-Modulen. Es erkennt so mehr Computerviren und bietet bestmöglichen Schutz."

...

"Die DoubleScan-Technologie

• Optimale Virenerkennung mit zwei Virensuch-Engines
• Durchsucht mit verbesserter Packformat-Unterstützung nahezu alle Formate gepackter Dateien, Archive und eingebetteter Dateien."

...

"Warum zwei Virenscanner-Module?

Ein Virenscanner kann nie 100% Sicherheit gegen Viren bieten. Systembedingte Sicherheitslücken ergeben sich bei jedem Scanner durch nicht erkannte Viren und unerkannte Dateiformate. Daher kompensieren zwei verschiede[ne] Virenscanner im Idealfall ihre Erkennungslücken zu einer vollständigen Virenerkennung.
In zahlreichen sicherheitsbewussten Unternehmen werden daher schon seit Jahren mehrere Virenscanner eingesetzt.
AVK® professional prüft mit zwei Virenscanner-Modulen und hat daher eine gründlichere Virenerkennung."

...

"KAV+RAV- ein starkes Team

Das Virenscanner-Modul KAV® schützt seit Jahren im AntiVirenKit zuverlässig gegen Viren – das bestätigen versierte Fachredakteure.
Das neue Modul RAV® bietet hierzu die optimale Ergänzung: Durch die unterschiedlichen Technologien erkennt AVK® professional mehr Viren: Für einen umfassenden Schutz gegen alle Virenarten."

[ ] = Tippfehler von GData ...

2. Version und Konfiguration

 

Der Test erfolgte am 29.11.2002. Es wurde mit nicht ganz aktuellen Virensignaturen getestet. Daher konnten einige neue Trojaner, die erst nach dem 22.10.2002 erschienen sind, nicht erkannt werden. Bei der Installation des AntiVirenKit gab es ein Kompatibilitätsproblem mit der Tiny Personal Firewall 4. Wir mussten diese deinstallieren, um das AntiVirenKit benutzen zu können.



3. On-Demand-Scanner

 

Von 105 Schädlingen wurden 73 erkannt.

 

Das Ergebnis ist noch deutlich besser, als es auf den ersten Blick erscheint. Von den nicht erkannten Samples (32), entfallen 11 auf Bionet 4, 9 auf Lithium 103, 1 auf MoSucker 3.0, 4 auf SilentSpy 2.10 und 3 auf Y3K Pro 0.2. Diese Trojaner sind relativ neu und wurden nicht erkannt, da es für sie noch keine Signaturen gab (es wurde mit Signaturen vom 22.10.2002 getestet). Im Ergebnis sind deshalb 11+9+1+4+3=28 von 32 Samplen aus der Bewertung auszuklammern. (Es soll aber in diesem Zusammenhang nicht unerwähnt bleiben, dass beim AntiVirenKit 12 keine täglichen Updates der Signaturen, sondern lediglich wöchentliche Updates erfolgen.)

Die verbleibenden 4 Trojaner, die nicht erkannt wurden, entfallen auf die beiden mit Armadillo gepackten Optix Pro 1.2 Server, den mit Armadillo gepackten Bionet 3.18 Server sowie den mit mit Netwalker verschlüsselten und anschliesssend mit Petite 2.2 gepackten Bionet 3.18 Server. Dass das AntiVirenKit bei der Netwalker-Petite Doppelverpackung die Segel streichen muss, ist bedauerlich. Den Armadillo-Packer gilt es (in allen Versionen) möglichst schnell durch eine oder beide der verwendeten Scan-Engines zu unterstützen.

Sehr positiv ist uns wiederum aufgefallen, dass der gepatchte Optix Lite 0.4 Server, den Kaspersky und F-Secure nicht erkennen können, durch das AntiVirenKit identifiziert wird. Hier zeigt sich der Vorteil der zweiten Scan Engine. Auch die mit PEShield gepackten Server konnten erkannt werden.

 

Im Ergebnis gelingt es dem AntiVirenKit somit, die bereits gute Erkennungsrate von Kaspersky noch zu überbieten.

 

Nachtest: Nachträglich haben wir das Testarchiv um einen TheefLite 1.11 Server erweitert, der durch einen in der VX Szene bekannten Patch modifiziert wurde (TheefLite1.11JoJoPatch.exe). Dieser gepatchte Server wurde leider auch vom AntiVirenKit nicht erkannt. (Siehe hierzu --> "The Art of Patching".)

4. On-Access-Scanner

Wir haben stichprobenweise überprüft, ob der Echtzeitwächter in der Lage ist, den Start verschiedener Trojaner zu unterbinden. Zu unserem grossen Erstaunen war dem oftmals nicht so! Selbst Trojaner, die der On-Demand-Scanner problemlos erkennen konnte, wurden durch den On-Access-Scanner nicht gestoppt. Teilweise konnten sogar solche Trojaner gestartet werden, die der Echtzeitwächter anschliessend (also zu spät) entdeckte. Auf dem nachfolgenden Screenshot wurde beispielsweise Bionet 3.18 ASProtect 1.1 gestartet, während sich der Echtzeitwächter noch gemütlich mit Asylum befasste ...






Wir konnten auch diverse andere Server am Echtzeitwächter "vorbeischmuggeln". Ein Erklärung hierfür hatten wir zunächst nicht. Wir testeten dabei sowohl mit der Einstellung "Beide Engines - Grundsätzlich doppelte Prüfung" sowie "Beide Engines - Performance orientiert". Ohne Erfolg!

Zunächst dachten wir, dass es sich hierbei möglicherweise um einen Bug handelt und der Echtzeitwächter deshalb keinen verlässlichen Schutz bietet. Wir waren bereits drauf und dran, den On-Access-Scanner als völlig unbrauchbar zu bezeichnen.

Bis uns eine versteckte Einstellung ins Auge fiel...





Standardmässig ist der Wächter so eingestellt, dass lediglich Dateien mit einer Grösse von weniger als 300 KB geprüft werden. Wenn man dagegen auf die (rot markierten) "..." klickt, kann man diese Einstellung verändern. Wir haben die Einstellung zunächst auf 800 KB erhöht, konnten aber immer noch einige Trojaner starten (selbst wenn diese eine Dateigrösse von weniger als 800 KB aufwiesen). Anschliessend haben wir die Grössenbegrenzung "radikal" auf 8000 KB erhöht. Nunmehr funktionierte der Wächter wesentlich besser (und das Arbeiten mit dem Computer wurde deutlich langsamer).

Allerdings gelang es uns immer noch, einzelne Trojaner zu starten, da der Wächter offenbar nicht in der Lage ist, eine grössere Zahl von Dateien, die sich in einem Verzeichnis befinden, "auf die Schnelle zu prüfen" !!

Nun gut...normalerweise werden sich auf einem Rechner nicht gleich 100 oder mehr Malwaresamples in einem einzigen Verzeichnis befinden. Unter realistischen Umständen wäre der Wächter deshalb vielleicht nicht überfordert. Dachten wir uns...

Folglich haben wir den Server Bionet 3.18 ASProtect in das c:/windows/ Verzeichnis kopiert und versucht, ihn dort zu starten. Der Wächter verhinderte dies. Anschliessend kopierten wir den Server in das Verzeichnis c:/windows/system32 und probierten es noch einmal aus. Der Wächter versagte kläglich.

Im Ergebnis bleibt es somit dabei: Wenn es "hart auf hart" kommt, taugt der Wächter des AntiVirenKit nichts. Es ist insoweit zu berücksichtigen, dass ein bereits gestarteter Schädling einen AV Scanner ohne weiteres unbrauchbar machen kann. Der Wächter muss deshalb vorher zugreifen.

5. Testarchiv (105 Malwaresamples)


1. Teil




2. Teil




3. Teil

6. Fazit

Das AntiVirenKit 12 Professional hinterlässt einen ausgezeichneten Eindruck als On-Demand-Scanner. Wir sind insoweit wirklich beeindruckt.

Die Performance des Echtzeitwächters lässt sich dagegen nur mit "lausig" beschreiben, genauso wie die Rechtsschreipprüfng von GData ...

Ein bisschen mehr Sorgfalt wäre angebracht.