Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Norman Virus Control 5.4 --

1. Aus der Werbung (www.norman.com)

"One of the fastest growing threats is the back door Trojans. These are espionage and remote access tools. If allowed to contaminate your system, they make it possible for unauthorized persons to gain full access to your network. Simply stated: Outsiders can access and do anything that your employees can access and do on their computers."

...

"Norman Virus Control (NVC) is a collection of anti-virus programs and utilities that protects your workstations and servers against malicious software. The most prevalent types of malware are viruses, worms, and trojans."

...

"Norman Virus Control is built around the advanced core technologies of Norman's Scanning Engine, which accurately detects known and unknown viruses, worms and trojans."

2. Version und Konfiguration

 

Getestet wurde mit der aktuellen Version 5.4. Norman bezeichnet diese intern offenbar als Version 5.00.4x - siehe Screenshot. Die Heuristik wurde aktiviert. Wir haben mit leicht veralteten Signaturen getestet, um Norman's Behauptung (siehe oben) überprüfen zu können, dass auch unbekannte Viren, Würmer und Trojaner erkannt werden.

Anschliessend wurde auch noch ein Nachtest mit dem Standardarchiv durchgeführt. Hierbei wurde die Scanner-Engine 5.40.32 sowie Binärvirus-Signaturen vom 6.12.2002 verwendet.



3. On-Demand-Scanner

 

Wir haben sowohl die deutsche, als auch die englische Version (mit einem kleineren Testarchiv) ausprobiert.

 

Obwohl wir uns nach Kräften bemüht haben, einige gepackte bzw. gecryptete Trojaner zu erkennen, konnte lediglich ein einziger "Zufallstreffer" erzielt werden: Für Subseven213BonusUPX wurde offenbar eine spezielle Signatur erstellt.

Ansonsten wurden nur einige ungepackte Schädlinge erkannt. (Es wurde nicht SpartaJDPack, sondern SpartaStandard erkannt -- siehe unten).

Einige neuere Trojaner wie Bionet 4, Institution 1.2 FWB, Lithium 1.03 oder Optix Pro 1.2 konnten auch in ungepackter Form nicht erkannt wurden, da es an den entsprechenden Signaturen fehlte. Diese Trojaner wurden auch nicht als "unbekannte" Trojaner identifiziert.



4. On-Access-Scanner

Der Start des ungepackten Bionet-Servers kann verhindert werden. Der Start des gepackten Bionet-Servers kann nicht verhindert werden ...

5. Testarchiv (97 Malwaresamples)






Anmerkung: Die Dateinamen von Sparta11 und SpartaJDPack sind vertauscht. Es wurde also nicht die gepackte, sondern die ungepackte Version erkannt.

6. Nachtest

 

Bei unserem Nachtest wurde das 113 Malwaresamples umfassende Standardarchiv verwendet. Es wurden 8 ungepackte Malwaresamples erkannt...

 

7. Fazit