Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- McAfee VirusScan --

Achtung: Der McAfee Report wird gegenwärtig komplett überarbeitet.


1. Aus der Werbung (www.mcafee.com)

"Detects viruses, Trojans, worms, malicious ActiveX controls and Java applets."

...

"McAfee VirusScan software includes advanced detection technology that consistently finds new viruses."

2. Version und Konfiguration

 

Wir testeten mit mehreren Scan-Engines und Signaturendatenbanken unterschiedlichen Datums, um die Weiterentwicklung des Scanners und insbesondere der Unpack-Engine untersuchen zu können (oben im Bild ist die aktuellste der getesteten Versionen zu sehen.) Neben der aktuellen Version 7 haben wir uns auch die etwas schlankere Version 6 angeschaut. Wesentliche Unterschiede in den Erkennungsraten konnten wir zwischen den beiden Versionen nicht feststellen, sofern dieselbe Scan-Engine verwendet wurde.

3. On-Demand-Scanner

Im On-Demand-Test liessen wir drei unterschiedliche Versionen von McAfee VirusScan unser Standard-Testset (ohne Optix04nKAVsignaturepatched) durchsuchen. Nachfolgende Log-Files zeigen, dass die Erkennungsraten im Grundsatz umso besser ausfallen, je aktueller die verwendete Scan-Engine bzw. Signaturdatenbank ist. Dies verwundert nicht, da wir den Hersteller Network Associates (ebenso wie andere AV/AT Hersteller) im Laufe der letzten Monate über Packer und Crypter informierten, die ihr Scanner nicht korrekt entpacken bzw. entschlüsseln konnte.

Bei der Analyse der nachfolgenden Testergebnisse darf nicht allein die Zahl der erkannten Trojaner betrachtet werden. Die getesteten älteren Versionen konnten aufgrund veralteter Signaturen einige neuere Schädlinge nicht erkennen. In solchen Fällen lässt sich keine Aussage über die Qualität der Scan Engine treffen (höchstens über dessen Heuristik, die aber nicht Hauptgegenstand unserer Untersuchungen ist.)

 

Test mit Scan-Engine 4.1.60 und Signaturen vom 13.11.02:

Ansicht des Scan-Logs.

Zu diesem Zeitpunkt konnte McAfee den Crypter Armadillo in den Versionen 2.01 und 2.2x überhaupt nicht durchleuchten und versagte in Einzelfällen auch bei den folgenden Packern/Cryptern: PECompact1.8x, PEcompact1.5, PEShield, FSG, PKLite3211.

Weiterhin fällt auf, dass McAfee mehrere der mit PKLite3211 gepackten Samples (die dem Scanner in ungepackter Form bekannt waren) als "New Backdoor" meldete. Offenbar konnten hier Lücken in der Unpack-Engine durch die Heuristik teilweise geschlossen werden.

 

Test mit Scan-Engine 4.1.60 und Signaturen vom 05.03.03:

Ansicht des Scan-Logs.

Diese Version des Scanners hatte noch mit folgenden Packern/Cryptern teilweise Schwierigkeiten: Armadillo2.01, PECompact1.8x, PEcompact1.5, PEShield, FSG.

 

Test mit Scan-Engine 4.2.40 und Signaturen vom 16.04.03:

Dieser Test ergab das folgende Ergebnis:

Ansicht des Scan-Logs.

4. On-Access-Scanner

Wie nicht anders zu erwarten, konnte der Wächter alle dem On-Demand-Scanner bekannten Schädlinge am Start hindern. Dabei fiel die vergleichsweise geringe System-Verzögerung auf.

Eine weitere positive Überraschung zeigte sich beim Start der beiden eigentlich unerkannten, mit Armadillo2.01 gepackten Trojaner: anders als die meisten anderen Scanner, konnte McAfee die beim Ausführen entstehenden temporären Dateien (*.TMP0) als infiziert melden und den Start des eigentlichen Schädlings verhindern. Letzlich konnten sich also nur 2 der 112 Trojaner aus dem Testset am Wächter vorbeimogeln.

Damit konnte der On-Access-Wächter die Leistung des Scanners noch ein wenig verbessern.

(Anm.: Bionet4PECompact18x konnte mit der neuesten getesteten Version NICHT in den Speicher gelangen. Das Bild entstand beim Test einer etwas älteren Version.)