Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Norton AntiVirus 2003 --

1. Aus der Werbung (www.norton.com)

 

"Symantec's Norton AntiVirus 2003 is the world's most trusted antivirus solution."

...

"ENHANCED! Automatically removes viruses, worms, and Trojan horses."

2. Version und Konfiguration

 

Weitere Tests wurden am 2.12.2002 sowie 9.12.2002 durchgeführt (jeweils mit aktuellen Signaturen).

 

3. On-Demand-Scanner

 

Es wurden 12 von 97 Schädlingen erkannt. Mit Ausnahme von Asylum013WWPack32, für den offenbar eine spezielle Signatur erstellt wurde, konnten keine laufzeitkomprimierten oder verschlüsselten Schädlinge identifiziert werden. Ausserdem fehlten Trojaner wie Sparta 1.1 und sogar der bekannte Bionet 4 Server im Signaturenbestand. Dieses schlechte Ergebnis waren wir inzwischen schon von einigen anderen Virenscannern gewohnt.

 

Uns fiel jedoch bei einem vorherigen Test noch eine weitere Merkwürdigkeit auf, die uns dazu veranlasste, die Qualität der von NAV verwendeten Signaturen genauer zu überprüfen. Bei dem vorherigen Test konnte Optix Pro 1.2 nur erkannt werden, wenn der Server völlig unverändert (d.h. in der Form, in der man ihn auf der Webseite des Entwicklers downloaden kann) gescannt wurde. Sobald man den Server aber mit dem dazugehörigen Editor konfigurierte (dies gehört zum "normalen" Prozedere, das dem Einsatz eines jeden Trojaners zwingend vorausgeht), wurde er nicht mehr erkannt. Siehe nachfolgender Screenshot:

Daraus folgerten wir, dass sich Symantec offenbar nicht die Mühe gemacht hatte, eine qualitativ hochwertige Signatur für diesen Trojaner zu erstellen. Inzwischen hat Symantec hier nachgebessert, wie die aktuellen Testergebnisse zeigen (sowohl OptixPro12ServerKonfiguriert als auch OptixPro12ServerStandard werden erkannt).

Da wir aber inzwischen misstrauisch geworden waren, haben wir NAV einigen weiteren Experimenten unterzogen:

a)
Der Server Optix Pro 1.2 wurde mit einem Hexeditor verändert. Dabei wurde nichts weiter getan, als automatisch den String "Optix" mittels der Suchen-und-Ersetzen-Funktion des Hexeditors durch den String "Xitop" zu ersetzen. Prompt wurde der Trojaner nicht mehr erkannt. Daraus folgt, dass Symantec offenbar einfach den Namen des Trojaners als Signatur gewählt hat. Dies wäre so ziemlich die ungeeignetste Signatur überhaupt ...

Da wir es kaum glauben konnten, editierten wir auch einen Bionet 3.18 Server und ersetzten das Wort "Bionet" durch den Ausdruck "Teniob". Auch dieser Server wurde anschliessend nicht mehr erkannt (und war weiterhin funktionsfähig). Andere Hersteller (wie etwa Kaspersky) verwenden dagegen wesentlich hochwertigere Signaturen, die sich jedenfalls nicht einfach durch beliebige andere Zeichen ersetzen lassen ohne dadurch den Server zu zerstören (siehe dazu auch --> "The Art of Patching").

b)
Einige gepackte Server wurden von uns manuell entpackt und anschliessend gescannt. NAV konnte solche Server teilweise nicht erkennen (so blieb etwa BionetPetite22un-packed unentdeckt und konnte ungehindert gestartet werden). Dies spricht ebenfalls gegen die Qualtität der von Symantec verwendeten Signaturen. Andere Scanner lassen sich unabhängig davon, ob eine Unpacking Engine vorhanden ist oder nicht, durch solche simplen Methoden nicht notwendigerweise aufs Glatteis führen (siehe etwa NOD32).

Ausserdem fiel uns auf, dass der On-Demand-Scanner das Testarchiv nur sehr langsam durchsuchte.



4. On-Access-Scanner

Der Start des ungepackten Bionet-Servers kann verhindert werden. Der Start des mit UPX gepackten Bionet Servers kann dagegen nicht verhindert werden. Er befindet sich auf nachfolgendem Screenshot bereits im RAM. Ebenfalls gestartet werden konnte der "xitop"-hexeditierte Optix Pro 1.2 Server (siehe oben), der Norton AutoProtect daraufhin auch noch komplett deaktivierte: Wir meinen, dass dies einfach nur peinlich ist für Symantec ... und ärgerlich für den zahlenden Kunden, der "the world's most trusted antivirus solution" sein Vertrauen geschenkt hat.

Wir können uns dies nur so erklären, dass Dr. Norton möglicherweise nicht mehr persönlich an der Weiterentwicklung dieses Scanners beteiligt ist.

Where are you? We miss you!

5. Testarchiv (97 Malwaresamples)







6. Nachtests

Bei unseren Nachtests vom 2.12. und 9.12. wurde das 113 Malwaresamples beinhaltende Standardarchiv verwendet. Es wurden an beiden Testtagen lediglich 13 Schädlinge erkannt:

theefLe111unpacked.exe is infected with the Backdoor.Theef virus."
optixpro12standard.exe is infected with the Backdoor.OptixPro.12 virus."
optixpro12konfiguriert.exe is infected with the Backdoor.Optix virus."
optixlite04unpacked.exe is infected with the Backdoor.Optix virus."
Netdevil12ungepackt.exe is infected with the Backdoor.NetDevil virus."
Netdevil12petite22un-packed.exe is infected with the Backdoor.NetDevil virus."
Lithium103standard.exe is infected with the Backdoor.Lithium virus."
Bionet318ungepackt.exe is infected with the Trojan Horse virus."
asylum013wwpack32V120comp9.exe is infected with the Backdoor.Asylum virus."
asylum013wwpack32V120comp4.exe is infected with the Backdoor.Asylum virus."
asylum013wwpack32V120.exe is infected with the Backdoor.Asylum virus."
asylum013unpacked.exe is infected with the Backdoor.Trojan virus."
sowie optixlite04nKAVsignaturepatched."

 

 

 

Obwohl alle mit WWPack32 laufzeitkomprimierten Asylum-Server erkannt wurden, ist NAV nicht in der Lage, diesen Packer durchgängig zu durchleuchten. Ansonsten hätte beispielsweise auch Netdevil12WWPack32V120 identifiziert werden müssen. NAV erkennt die mit WWPack32 gepackten Asylum-Server vielmehr deshalb, da nach "butterweichen", leicht veränderlichen Signaturen innerhalb der ungepackten .data Section (anstatt nach "harten" Signaturen innerhalb der .code Section) gescannt wird. Konkret: NAV scannt nach dem Wort "Asylum", welches im Rahmen der Notify-Funktion dieses Trojaners Verwendung findet. Ändert man den String "Asylum" in "Asulum", versagt NAV kläglich. Alle halbwegs "ausgeschlafenen" Hacker wissen leider ganz genau um solche Schwächen eines AV Scanners und freuen sich daher über jeden Anwender, der sein Vertrauen in Norton AntiVirus setzt ...

Positiv ist uns bei den Nachtests aufgefallen, dass der On-Access-Scanner den Start der mit Armadillo 201 sowie 220 gepackten Optix Pro 1.2 Server verhindern konnte. Bei Bionet 3.18 Armadillo 220 versagte der On-Access-Scanner dagegen. Auch insoweit kann also nicht von einer durchgängigen Erkennung gesprochen werden.



7. Fazit