--
Kaspersky Anti-Virus-- 
1. Aus der Werbung (www.kaspersky.com und www.avp.ch)
"You don't have to do anything - KAV/Monitor is permenantly active, and if you access anything which contains hostile code - be it virus, worm, trojan, whatever - KAV/Monitor will alert you and prevent you from using the infected item."
...
"Unpacking Engine: KAV32's Unpacking Engine allows "on-the-fly" scanning of runtime compressed executables."
...
"Our program supports the majority of archived and compressed file formats, and automatically checks for viruses in their contents. Even if the virus has been compressed or archived multiple times using various archiving utilities, Kaspersky™ Anti-Virus detects it, deletes the virus and restores the file to its working state."
2. Version und Konfiguration
Die Tests wurden mit den KAV-Gesamtpaket-Versionen 4.0.6 (ältere Signaturen)
und 4.0.7 (neue Signaturen) durchgeführt.
3. On-Demand-Scanner
Um eventuelle Verbesserungen der Unpack-Fähigkeiten von KAV zu dokumentieren, führten wir den Scan unseres Standard-Testsets sowohl mit veralteten, als auch mit aktuellen Signaturen durch. Unabhängig von unseren Tests teilten wir dem Hersteller Kaspersky Labs. (sowie allen weiteren Herstellern der von uns getesteten AV/AT Scanner mit einer Unpacking Engine) mit, wenn ein Packer oder Crypter gefunden wurde, der nicht durchleuchtet werden konnte. Diese offene Informationspolitik dient vorrangig dem Ziel, die Scanengine des jeweiligen Scanners zu verbessern und nicht etwa dazu, die Testergebnisse zu manipulieren.
Die Tests mit den neueren Signaturen zeigen somit in erster Linie, ob und wie der Hersteller von KAV auf bekanntgewordene Schwächen des Scanners reagiert hat.
(Anmerkung zu den Tests mit alten Signaturen: Da die veraltete Signatur-Datenbank einige neuere Trojaner noch nicht enthält, konnte KAV sie nicht erkennen. Insoweit lassen sich lediglich Rückschlüsse auf eine schwache Backdoor-Heuristik, nicht aber auf die Qualität der KAV Unpack-Engine ziehen. Die reine Anzahl der erkannten Schädlinge ist also wenig aussagekräftig. Auf die übrigen Testkriterien (Signaturen-Qualität, etc.) wird erst im Test mit den aktuellen Signaturen eingegangen.)
Test mit Signaturen vom August 2002:
Ansicht des Scan-Reports.
Zu diesem Zeitpunkt konnte KAV mit den folgenden Packern und Cryptern nicht umgehen: Armadillo, JDPack, Netwalker, XbyteProFSG, Winkript. Es bestand also einiger Verbesserungsbedarf.
Test mit Signaturen vom Oktober 2002:
Ansicht des Scan-Reports.
Zwei Monate später war KAV dann in der Lage, die zuvor nicht berücksichtigten Packer/Crypter Netwalker, FSG und Winkript korrekt zu durchleuchten. Leider gab es nun neue Probleme mit PE-Shield: Wie im Scan-Report zu sehen, führten einige (relativ große) Dateien zu einem I/O-Error. Darüberhinaus gelang es KAV immer noch nicht, den mit Netwalker und Petite doppelt-gepackten Bionet3.18-Trojaner zu erkennen.
Test mit Signaturen von Ende Dezember 2002:
Mit Signaturen, die bei der Erstellung des Testsets aktuell waren, erzielte KAV schließlich mit 102 zu 113 ein hervorragendes Ergebnis.
Die komplette Report-Ansicht gibt es hier.
Bis auf die professionelle Verschlüsselungs-Software
Armadillo konnte KAV nun mit allen von uns getesteten Packern und Cryptern
korrekt umgehen. Darüberhinaus erkannte der Scanner alle Trojaner aus
unserem Testset zumindest in Originalform. Manuell entpackte Trojaner waren
für KAV ebensowenig ein Problem wie gefakte Dateiheader und hexeditierte
Schädlinge, bei denen lediglich ein Textstring verändert wurde.
Allerdings blieb auch in diesem Test der mit Netwalker und Petite zweifach
gepackte Server unerkannt. Da aber die drei anderen doppelt gepackten Trojaner
richtig erkannt wurden, kann man hieraus noch keine grundsätzliche
Schwäche
des Scanners folgern.
Schließlich konnte KAV die beiden gepatchten Trojaner nicht erkennen.
Dies überrascht nicht wirklich, da die Patches speziell
auf die Umgehung von KAV ausgerichtet wurden. Es zeigt aber, dass auch
ein
Scanner mit qualitativ hochwertigen Signaturen wie KAV durch gezieltes Verändern
des Schädlings ausgetrickst werden kann. Siehe
hierzu The
Art of Patching.
4. On-Access-Scanner
Der KAV-Monitor konnte alle Schädlinge erkennen und
zuverlässig am Start hindern, die auch der On-Demand-Scanner gefunden
hatte. Selbst unter Last (z.B. bei gleichzeitigem Start
mehrerer Malwaresamples) konnten wir keinen der regulär erkannten
Trojaner am Wächter
"vorbeischmuggeln."
Gegen die wenigen unerkannten Schädlinge war auch der On-Access-Monitor machtlos. Während beispielsweise der zuerst mit Winkript verschlüsselte und anschließend mit PECompact komprimierte Netdevil-Server zuverlässig geblockt wird, konnten die mit Armadillo behandelten Trojaner sowie der gepatchte TheefLe problemlos gestartet werden.
5. Fazit
Kaspersky Anti-Virus hat zu Recht den Ruf einer sehr starken Trojaner-Erkennung.
Neben seiner umfassenden und aktuellen Signaturdatenbank vermochte der
Scanner
in unseren Tests mit seiner leistungsfähigen
Unpack-Engine zu überzeugen. Der Hersteller zeigte außerdem, dass
er sowohl willens als auch in der Lage ist, die Unpack-Fähigkeiten der
Scan Engine zeitnah auszubauen und damit auf neue Bedrohungen zu reagieren.
(Neben den
o.g.
Laufzeit-Packern
und Cryptern,
implementierte
der Hersteller in den letzten Monaten beispielsweise
auch Programme wie PENinja, Noodlecrypt und JD Pack in seine Engine.)
Dennoch ist anzumerken, dass auch die KAV Engine nicht perfekt ist und infolge neuer Bedrohungen immer weiter verbessert werden muss. Weiterhin gilt es darauf hinzuweisen, dass KAV aufgrund seines guten Rufes das Opfer gezielter Attacken mit gepatchten Trojanern geworden ist (siehe oben). Ein Zweitscanner als Ergänzung zu KAV würde dieses Problem mindern.
Auf die bereits angekündigte 5. Version des Kaspersky Anti-Virus Scanners sind wir bereits gespannt.