Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Dr. Web 4.29 --

 

1. Aus der Werbung (http://www.dials.ru/english/)

"Doctor Web for Windows 95/98/ME/NT/2000/XP (DrWeb) is a powerful combination of an antivirus scanner and one of the world's most clever memory resident monitors - "Spider Guard", deeply integrated into the operating system of your PC, which practically excludes any possible intrusion of a malicious code, e.i. virus, worm, trojan program into your computer."

2. Version und Konfiguration

 

3. On-Demand-Scanner

 

Von 97 Schädlingen wurden beim On-Demand-Scan 56 erkannt. Die rot markierten Schädlinge wurden nicht erkannt:






(Anm.: Es wurde nicht Sparta11JDPack, sondern Sparta11 erkannt. Die Dateinamen sind im Screenshot vertauscht.)

 

4. On-Access-Scanner

Wir konnten keine auffälligen Unterschiede im Vergleich zum On-Demand-Scanner feststellen. Auch der On-Access-Scanner konnte bestimmte gepackte Schädlinge nicht erkennen oder am Starten hindern.

Obwohl die Option "Scannen des Arbeitsspeichers" aktiviert war, wurde ein gepackter Bionet Server, der gestartet werden konnte, im Arbeitsspeicher nicht entdeckt. Wir nehmen daher an, dass die Option "Scannen im Arbeitsspeicher" nicht zur Erkennung von Trojanern geeignet ist. Das Versprechen "practically excludes any possible intrusion of malicious code" scheint insoweit eher dem Wunschdenken eines übereifrigen Werbetexters entsprungen zu sein.

 

5. Fazit und Analyse


Dr. Web ist einer der wenigen Scanner, bei denen wir eine brauchbare Unpacking Engine feststellen konnten. Die Unpacking Engine unterstützt viele wichtige Packer und Crypter wie UPX, ASPack, PECompact, Winkript, WWPack32 sowie Yoda Crypter. Gefakte Dateiheader und manuell entpackte Trojaner scheinen Dr. Web nicht zu beeindrucken.

Sparta11WWPack32 wurde nicht erkannt. Dies ist aber, wie eine nachträgliche Überprüfung ergeben hat, wohl nicht auf einen Fehler in der Unpacking Engine von Dr. Web zurückzuführen, sondern darauf, dass WWPack32 in Verbindung mit Sparta 1.1 je nach Testumgebung zu einem Programmabsturz neigt.

Noch nicht unterstützt werden beispielsweise Armadillo, ASProtect, JD Pack, Netwalker, Noodlecrypt, PENinja, PKLite32 und tElock. Hier besteht Nachbesserungsbedarf.

Negativ ist uns ausserdem aufgefallen, dass Institution 1.2 nicht erkannt wird.

Insgesamt ist die Unpacking Engine von Dr. Web zwar noch längst nicht perfekt, gibt aber Anlass zur Hoffnung.



6. Nachtest

In einem am 27.12. durchgeführten Nachtest mit unserem Standard-Testset erkannte Dr.Web 67 von 112 Schädlingen.
Der Scanner konnte dabei gut die Hälfte der getesteten Packer/Crypter sicher durchleuchten und offenbarte auch sonst keine auffälligen Schwächen. Es bestätigte sich also der recht positive Eindruck aus unserem ersten Test.

Bei dieser Gelegenheit wurden wir allerdings nachträglich auf eine problematische Eigenart des angeblich so cleveren On-Access-Monitors ("Spider Guard") aufmerksam:
In der Default-Einstellung scannt "Spider Guard" eine Datei auf einer Festplatte nämlich nicht wie sonst üblich bei jedem Datei-Zugriff (ausführen, kopieren, umbenennen etc.), sondern nur einmalig kurz nachdem die Datei neu erstellt wurde (z.B. infolge eines Kopiervorgangs.) Falls eine Datei bei dieser Prüfung als infiziert erkannt wird, merkt sich dies der Scanner offenbar und sperrt bis auf weiteres den Zugriff (also auch den Start der Datei.) Diese vergeichsweise minimalistische Vorgehensweise erspart zwar einiges an Zeit und reicht theorerisch aus, um "einfallende" Schädlinge zu entdecken und zu blocken.
Leider kann dadurch aber ein Schädling, der sich schon vor der Installation von "Spider Guard" auf der Festplatte befand, immer wieder ungestört ausgeführt werden, da er ja de facto nie vom Wächter überprüft wird!
Das gleiche gilt für neue Malware, die zum Zeitpunkt des Erstellens noch nicht vom Wächter erkannt werden konnte: Auch nach einem entsprechenden Signatur-Update werden die Dateien kein weiteres Mal überprüft und folglich auch nicht am Start gehindert.
Doch selbst wenn "Spider Guard" einen Schädling überprüft, erkannt und den Datei-Zugriff geperrt hat, kann diese Sperre durch einfaches Umbenennen des übergeordneteten Ordners wieder aufgehoben werden. Auch ein Neustart des Rechners bewirkt die Freigabe einer zuvor gesperrten Datei. Danach kann der Schädling wieder ungestört gestartet werden...

Das folgende Bild zeigt beispielhaft, was dadurch möglich ist: Nur die frisch erstellten Kopien der beiden Trojaner (Bionet3.18 und OptixLite5) werden überprüft und lassen sich infolge der Zugriffssperre nicht ausführen. Die beiden Originale konnten dagegen problemlos gestartet werden...

 

Immerhin lässt sich der Wächter so konfigurieren, dass die Dateien auch beim Start/Ausführen überprüft werden. Dies entspricht dem sonst üblichen Standard.
Leider ergibt sich dadurch ein neues Problem: Wie schon die Dr.Web-Hilfe zu bedenken gibt, werden in dieser Einstellung nämlich alle Dateien bei einem On-Demand-Scan grundsätzlich doppelt geprüft: Zuerst von "Spider Guard", danach erst vom On-Demand-Scanner. Dies führt natürlich zu einer unnötigen Erhöhung der Scanzeit.

An dieser Stelle sollte der Hersteller von Dr.Web wirklich nachbessern...