Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Panda Antivirus Platinum 7 --

1. Aus der Werbung (www.pandasoftware.com)

"Eliminates all types of viruses."

...

"Panda Antivirus Platinum 7.0 detects and eliminates all types of viruses, Trojan horses, worms, malicious ActiveX® controls and Java™ applets."

...

"Thanks to its advanced technology, it is effective against new, unknown viruses."

2. Version und Konfiguration

 

Die heuristische Suche nach unbekannten Schädlingen ist in der Standardeinstellung deaktiviert. Trotzdem testeten wir mit eingeschalteter Heuristik, um die Aussage des Herstellers zu prüfen, dass Panda Antivirus auch unbekannte Viren finden kann.

(Neben der Platinum Version haben wir uns stichprobenartig auch die Titanium Version angeschaut. Signifikante Unterschiede bei den Erkennungsraten beider Versionen konnten wir nicht feststellen.)

3. On-Demand-Scanner

Beim On-Demand-Test vom 05.05.03 konnte Panda insgesamt 22 Schädlinge unseres Standard-Testsets richtig identifizieren. Außerdem stufte die Heuristik elf weitere Dateien als "verdächtig" ein.

Hier finden Sie den Scan-Report.

Bei der Ergebnisanalyse schauen wir uns zunächst die eindeutig erkannten Schädlinge an:

Angesichts von fünf Trojanern, die der Scanner selbst in ungepackter Form nicht erkannte, kann man bei Panda nicht gerade von einer umfassenden Trojaner-Datenbank sprechen. Erstaunlich ist, dass OptixLite nur in der aktuellen Version 5, nicht aber in der älteren Version 4 gefunden wurde. Wir haben allerdings auch schon schlechtere Ergebnisse erlebt ...

Immerhin besitzt Panda eine rudimentäre Unpack-Engine, die zumindest mit neueren Versionen des beliebten Packers UPX (ab UPX1.04) und teilweise auch mit PkLite umgehen kann. Bei letztgenanntem Packer ist allerdings nicht auszuschließen, dass die beiden "Treffer" (Netdevil 1.2 und Optixkiller) nur im Einzelfall aufgrund der Verwendung spezieller Signaturen möglich waren. Zwei weitere mit PkLite gepackte Trojaner wurden nämlich nicht erkannt.
Um auch nur annähernd an die Leistung der derzeitigen Top-Scanner heranzukommen, muss Panda's Unpack-Engine jedenfalls noch kräftig verbessert und um zahlreiche Packer und Crypter erweitert werden.

Durchweg passen musste Panda bei Trojanern, die erst gepackt und anschließend wieder entpackt wurden. Diese Trojaner konnten nicht mehr identifiziert werden. Weitere Schwächen bei der Signaturauswahl konnten wir Panda nicht nachweisen. Die speziell für diese Testkategorie erstellten Samples, bei denen einzelne Strings per Hex-Editor leicht verändert wurden, konnte Panda problemlos erkennen.

 

Nun zu den Trojanern, die von der Heuristik gemeldet wurden:

Es fällt sofort auf, dass es sich bei allen "verdächtigen" Dateien um gepackte Trojaner handelte, für deren Modifizierung insgesamt nur drei verschiedene Packer und Crypter (TELock080, Winkript und YodaCrypt) verwendet wurden. Zudem ist es erstaunlich, dass die Heuristik ausnahmslos alle Trojaner meldete, die mit diesen Tools behandelt wurden - selbst solche, die Panda nicht einmal in ungepackter Form erkennen konnte.

Das kam wiederum uns sehr "verdächtig" vor ...

Es lag die Vermutung nahe, dass grundsätzlich jede Datei (egal, ob Schädling oder nicht), die mit einem der drei Packer/Crypter behandelt wurde, von der Panda-Heuristik gemeldet wird. Dies ist durchaus denkbar, denn i.d.R. hinterlassen solche Tools bei einer Datei eindeutige Merkmale, anhand derer sich der verwendete Packer/Crypter feststellen lässt. Ein solches Vorgehen würde natürlich die Gefahr von Fehlalarmen drastisch erhöhen.

Dass wir mit unserer Annahme richtig liegen zeigt das folgende Bild:




Jede der drei Dateien wurde mit jeweils einem der o.g. Packer/Crypter behandelt. Alle drei Dateien wurden als verdächtig eingestuft. Das einzige Problem: Alle Dateien sind völlig harmlos. "Avengine.exe" und "FwAct.exe" sind Bestandteile von Panda Antivirus und "explorer.exe" ist eine der wichtigsten Dateien einer jeden Windows XP Installation!

Eine solche "Heuristik" muss man mit großer Vorsicht genießen. Der Hersteller von Panda AV wird schon wissen, warum er sie standardmäßig deaktiviert hat ...

4. On-Access-Scanner

Vom residenten Wächter gibt es nichts Außergewöhnliches zu berichten. Wie von anderen Scannern mit unzureichenden Unpack-Fähigkeiten gewohnt, konnten wir fast alle gepackten und gecrypteten Trojaner am Wächter vorbeischmuggeln (im folgenden Bild rot markiert). Da kann der niedliche Panda noch so fröhlich dreinschauen ...

Nur ungepackte sowie mehrere mit UPX und PkLite gepackte Trojaner konnte der wachende Panda "unschädlich machen" (im Bild: TheefLeUPX.)

Dagegen blieben die vom Hauptscanner nur als "verdächtig" eingestuften Schädlinge beim On-Access-Scan unerkannt, da Panda's Wächter-Komponente offenbar ohne Heuristik auskommen muss.

5. Fazit


Auch wenn sich Panda Antivirus dank seiner rudimentären Unpack-Engine leicht von der Masse der nicht-entpackenden Virenscanner abhebt, so kann man doch längst nicht von einem zuverlässigen Trojaner-Schutz sprechen. Daran ändert auch die übersensible Heuristik nichts, die über das eigentliche Ziel, unbekannte Schädlinge zu entdecken, teilweise deutlich hinausschießt.

Hoffen wir, dass der putzige Panda seine "Spürnase" in Zukunft verbessern kann.