Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- F-Secure AV --

1. Aus der Werbung (www.f-secure.com)

"F-Secure® Anti-Virus™ automatically and transparently delivers the most powerful and up-to-date protection against computer viruses and malicious code to your laptops, desktops, servers, firewalls, email systems and handheld devices with a centralized management system."

...

"On-the-fly real-time protection against all malicious code, including binary viruses, script language viruses, trojan horses, and email bombs"

 

2. Version und Konfiguration

 

Für den On-Access-Wächter wurde die gleiche Konfiguration vorgenommen, wie für den On-Demand-Scanner (im Bild.)

3. On-Demand-Scanner

Der Scan unseres Standard-Testsets brachte das folgende, sehr gute Ergebnis:

Hier finden Sie das komplette Scan-Protokoll

Nicht ganz unerwartet entspricht dieses Resultat (102 von 113) genau dem Ergebnis von KAV, da dessen leistungsfähige Scan-Engine auch ein Bestandteil von F-Secure ist. Deshalb kann die Interpretation des KAV-Tests im Prinzip direkt auf F-Secure übertragen werden.

Dies zeigt aber auch, dass die zweite in F-Secure integrierte Scan-Engine von F-Prot in unserem Test keinen zusätzlichen Beitrag leisten konnte. Zumindest bei den speziell für die Umgehung der KAV-Engine gepatchten Trojanern hätte man einen Vorteil durch die Doppel-Prüfung mit zwei unterschiedlichen Scan-Modulen erwarten können.
Man erkennt darüberhinaus durch Vergleich mit unserem F-Prot-Test, dass dessen Engine offenbar immer dann für einen Fund verantwortlich ist, wenn F-Secure nur einen Oberbegriff ("is a security risk or a 'backdoor' program") als Schädlingsnamen ausgibt. Dies ist aber nur bei einigen ungepackten Schädlingen der Fall, welche das KAV-Modul ebenfalls finden und darüberhinaus mit korrektem Namen bezeichnen würde...

4. On-Access-Scanner

Auch ein Scanner mit einer leistungsfähigen Unpack-Engine ist nicht unfehlbar:

Die schon im On-Demand-Test nicht erkannten Samples konnte erwartungsgemäß auch der On-Access-Wächter nicht blocken (deren Prozessnamen sind im Bild rot markiert.)

Dafür konnte der Wächter selbst unter großer Belastung alle regulär erkannten Trojaner am Start hindern (im Bild: Bionet318ASProtect11.exe) Dies ist ein großer Vorteil gegenüber AVK12, welches ebenfalls über zwei Scan-Engines verfügt, aber unter Last recht "durchlässig" wird.

5. Fazit

F-Secure AV besitzt mit der KAV-Engine ein Scanmodul, das auf praktisch alle von uns gestellten Anforderungen (Unpacking, hochwertige Signaturen, umfassende Kenntnis von Trojanern usw.) eine passende Antwort bereithält.

Die F-Prot-Engine wirkte in unserem Test dagegen nur wie Ballast. Dies muss aber nicht heißen, dass sie bei anderer Malware ebenfalls nutzlos ist.