--
F-Prot Antivirus 3.12b -- 
1. Aus der Werbung (www.f-prot.com)
"Running on all Windows versions, this security software package has various components that help keep your system secure from viruses, backdoors, trojans and other malicious programs."
2. Version und Konfiguration
Getestet wurde zusätzlich mit älteren Signaturen und einem kleineren
Testarchiv.
3. On-Demand-Scanner
15 von 100 Malwaresamples werden erkannt ...
Positiv fällt auf, dass offenbar JDPack und YodaCrypt "durchleuchtet"
werden können. Negativ fällt auf, dass ansonsten keine der im Archiv
enthaltenen Packer und Crypter (nicht einmal UPX und ASPack) unterstützt
werden. Ausserdem fehlen Optix Killer 3.0 und Institution 1.2 im Signaturenbestand.
Noch schlimmer: Die manuell entpackten Server werden nicht erkannt. Die zwei
hexeditierten Server werden ebenfalls nicht erkannt. Dies könnte auf
"unsichere" Signaturen hindeuten (siehe hierzu auch "The
Art of Patching"). Darüberhinaus wird nicht einmal der speziell
"gegen" Kaspersky gepatchte Optix Lite Server erkannt. Dies ist
ganz und gar unverständlich und könnte darauf hinweisen, dass F-Prot
nicht nach Signaturen scannt, sondern sehr unsichere Checksummen zur Erkennung
verwendet, bei denen bereits die geringste Veränderung des Servers genügt,
um den Scanner in die Irre zu führen. Andererseits wurden die mit JDPack
und YodaCrypt gepackten Server als verdächtigt eingestuft. Der Grund
hierfür bleibt rätselhaft. Fest steht nur eines: Hier läuft
irgendetwas völlig verkehrt...
Ein Test mit älteren Signaturen bestätigte das schlechte Ergebnis...
4. On-Access-Scanner
Der On-Access-Scanner konnte den Start der vom On-Demand-Scanner übersehenen
Trojaner nicht verhindern. Dem hexeditierten Optix Pro 1.2 Server gelang es
sogar, den On-Access-Scanner nicht nur aus dem Arbeitsspeicher zu werfen,
sondern permanent zu zerstören...
5. Testarchiv (100 Malwaresamples)
6. Fazit
