Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- NOD32 --

 

1. Aus der Werbung (www.nod32.com)

 

"Viruses, worms, and other malware are kept out of striking distance from your valuable data."

...

"Scans memory - detects viruses, worms and Trojans which are running."

...

"Detects viruses in compressed or protected executable files (PKLite, LZexe, Diet, Exepack, CPAV)."

2. Version und Konfiguration

 

Anm.: Getestet wurde zusätzlich auch mit der aktuelleren Version 1.331. Ausserdem wurde am 26.11.2002 mit der Version 1.332 ein Nachtest durchgeführt.

3. On-Demand-Scanner

 

Aus den Screenshots geht hervor, dass (mit Ausnahme von Bionet318DIET) lediglich einige ungepackte Schädlinge erkannt wurden. Weiterhin fällt die lieblose Pflege der Signaturdatenbank auf: Trojaner wie Lithium 1.03, Institution 1.02, OptixPro 1.2 und Bionet 4 werden auch in ungepackter Form nicht erkannt.



4. On-Access-Scanner

 

Laufzeitkomprimierte Malware (im Beispiel Bionet 3.18 sowie Optix Firewallkiller 3.0) konnten problemlos gestartet werden. Nur die ungepackten Versionen wurden am Start gehindert. Die nicht erkannte Malware war mit PKLite gepackt worden ...

5. Testarchiv (97 Malwaresamples)







6. Nachtest

 

Der Nachtest vom 26.11.2002 mit dem Standardarchiv (mit Ausnahme von OptixLite04nKAVpatched) führte ebenfalls nur zu einem bescheidenen Ergebnis:

NOD32 Systeminformation
Version: 1.332 (20021125)
Installiert am: 11/26/2002
Antivirus-Datenbank Build: 2676
Environment-Version: 1.047

Report
NOD32 1.332 (20021125) NT
Prüfung Arbeitsspeicher auf Viren: OK
Prüfe NOD32.EXE
Datum: 1.12.2002 Zeit: 18:40:09
Prüfe Laufwerke und Ordner: D:\Virentest\scantest\scantest2
D:\Virentest\scantest\scantest2\assasin11.exe - Win32/Assasin.11 Trojaner
D:\Virentest\scantest\scantest2\asylum013unpacked.exe - Asylum.013 Trojaner
D:\Virentest\scantest\scantest2\Bionet318petite22un-packed.exe - Win32/Bionet.318 Trojaner
D:\Virentest\scantest\scantest2\Bionet318ungepackt.exe - Win32/Bionet.318 Trojaner
D:\Virentest\scantest\scantest2\Bionet318ungepacktteniobhexedited.exe - Win32/Bionet.318 Trojaner
D:\Virentest\scantest\scantest2\CyberSpy85manuallyunpackedkonfiguriert.exe - Win32/CyberSpy.85 Trojaner
D:\Virentest\scantest\scantest2\Netdevil12petite22un-packed.exe - Win32/NetDevil.12 Trojaner
D:\Virentest\scantest\scantest2\Netdevil12ungepackt.exe - Win32/NetDevil.12 Trojaner
D:\Virentest\scantest\scantest2\OptixKiller.exe - Win32/OptixKill.30 Trojaner
D:\Virentest\scantest\scantest2\optixlite04unpacked.exe - Win32/Optix.04.A Trojaner
D:\Virentest\scantest\scantest2\Sparta11standard.exe - Win32/Spartadoor.11.Server Trojaner
D:\Virentest\scantest\scantest2\theefLe111unpacked.exe - Win32/Theefle.111 Trojaner
Anzahl geprüfter Dateien: 112
Anzahl infizierter Objekte: 12
Verbliebene Viren: 12
Beendet um: 18:40:15 Uhr Benötigte Zeit: 6 sec (00:00:06)

Ausser unserem üblichen Fazit fällt uns hierzu nicht viel ein...

7 . Fazit