Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- BitDefender 6.5 --

1. Aus der Werbung (www.bitdefender.com)



"secure your every bit"

...

"Keep your PC safe from viruses, Trojans, Internet worms and other malicious applications!"

...

"BitDefender Home Edition is a powerful antivirus tool with features that best meet your security needs."

 

2. Version und Konfiguration

 

3. On-Demand-Scanner

 

Es werden 49 von 100 Malwaresamples erkannt.





Deutlich erkennbar ist, dass BitDefender eine brauchbare Unpacking Engine besitzt, die Packer wie ASPack 2.12, PECompact 1.50, Petite 2.2, tElock 0.80, UPX 0.81, WWPack32 1.12, PKLite32 1.11 sowie XBytePro (FSG 1.31) "durchleuchten" kann. Auch gefakte Header und "Doppelverpackungen" werden erkannt.

Nachbesserungsbedarf besteht beispielsweise bei Armadillo, ASProtect, DIET, JDPack, Netwalker, PEShield, Winkript und möglicherweise auch bei Noodlecrypt, PENinja u. Yodacrypt (falls die mangelnde Identifizierung nicht auf eine fehlende Signatur für Obilivion und Bionet 4 zurückzuführen ist).

Ein besseres Ergebnis verfehlte BitDefender vor allem deshalb, da die Signaturen dieses Scanners offenbar weder vollständig, noch qualitativ hochwertig sind. Auf qualitative Mängel deutet die mangelnde Identifikation von OptixPro12serverkonfiguriert, OptixPro12XitopHexedited und Bionet318TenoibHexedited hin (siehe dazu auch --> "The Art of Patching"). Gegen die Vollständigkeit der Signaturdatenbank spricht, dass Institution 1.2, OptixKiller 3.0, Sparta 1.1, Assasin 1.1 und Bionet 4 nicht erkannt wurden.

Im Ergebnis ist es bedauerlich, dass BitDefender das Potential seiner recht soliden Unpacking Engine nicht ausnutzt.

4. On-Access-Scanner

BitDefender verfügt neben seinem On-Access-Scanner auch über einen Memory Scanner sowie einen (auch für Trojaner halbwegs sinnvollen) Behaviourscanner, der u.a. File- sowie Registryaktivitäten überwacht. Der ebenfalls vorhandene Portscanner erscheint uns dagegen eine blosse Spielerei zu sein.

Bei einer stichprobenhaften Überprüfung führte das Aktivieren des On-Access-Scanners zu keinen besseren Scanergebnissen. Beispielsweise konnten mit ASProtect verschlüsselte oder hexeditierte Trojaner weiterhin gestartet werden.

Der Memory Scanner von BitDefender interessierte uns besonders, da das Scannen im RAM die Möglichkeit eröffnet, auch solche Malwaresamples zu erkennen, die der On-Demand-Scanner aufgrund eines noch nicht unterstützten Packers oder Crypters nicht identifizieren kann.

Im Prinzip schien der Memory Scanner zu funktionieren ...

... allerdings wurde hier der ungepackte Bionet Server gestartet. Verschiedene gepackte Server, die der On-Demand-Scanner nicht erkennen konnte, wurden auch im Memory nicht entdeckt. Dies ist sehr bedauerlich und lässt sich wohl nur damit erklären, dass BitDefender im Arbeitsspeicher nach ungeeigneten Signaturen scannt. Wieder verschenkt BitDefender also das Potential, welches der verwendeten Technologie innewohnt.

 

5. Testarchiv (100 Malwaresamples)

6. Update

 

Am 6. April 2003 wurde ein Nachtest mit BitDefender 6.5 Pro (mit aktuellen Signaturen) durchgeführt. Die Erkennungsrate verbesserte sich nicht wesentlich.

 

7. Fazit



"Secures you a bit"