Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- PC-cillin 2002/2003 --

1. Aus der Werbung (www.trendmicro.com)

"Comprehensive Virus Protection

PC-cillin safeguards your computer from viruses, Trojans, worms, and other malicious code that attacks your computer via email, instant messaging, Internet downloads, and file sharing."

2. Version und Konfiguration

 

Wir haben ausserdem ein älteres Signaturfile, die neue Beta Scan Engine sowie PC-cillin 2003 mit den Signaturfiles 365 und 389 getestet. Weiterhin wurden am 1.12.2002 ein Nachtest mit PC-cillin 2002 (Engine 6.15, Pattern 397) sowie am 9.12.2002 ein Nachtest mit PC-cillin 2003 (Engine 6.18, Pattern 407) durchgeführt.




3. On-Demand-Scanner

 

Von 96 Schädlingen (siehe 5. Testarchiv) werden beim On-Demand-Scan nur 15 erkannt. Nur ein einziger gepackter Schädling (Bionet318DIET) wurde identifiziert.



Ein zweiter Test mit einem älteren Signaturfile und einem kleineren Testarchiv führte zu einem ähnlich schlechten Ergebnis:

 

Wieder werden (bis auf eine Ausnahme) nur die ungepackten Trojaner erkannt, welche durch einen blauen Punkt markiert sind.

Anschliessend haben wir uns die neue Beta Scan Engine angeschaut, die verschiedene Kompressionsformate wie ASPack und UPX unterstützen soll. Bis dahin ist es aber noch ein weiter Weg ...

 

Last but not least, musste sich PC-cillin 2003 durch ein erweitertes Testarchiv mit 100 Schädlingen kämpfen.

 

Die roten Punkte markieren den Beginn des jeweiligen Scans. Mit dem Signaturfile 389 wurden weitere Schädlinge erkannt. Positiv ist insoweit anzumerken, dass der hexeditierte Optix Pro 1.2 erkannt wurde. Hier hat Trend Micro offenbar eine brauchbare Signatur erstellt. Negativ ist uns aufgefallen, dass für einen hexeditierten Bionet 3.18 Server (es wurde einfach nur das Wort "Bionet" durch das Wort "Teniob" ausgetauscht) keine brauchbare Signatur vorlag. Der editierte Server konnte problemlos (trotz aktiviertem On-Access-Scanner) gestartet werden. Dies ist ganz schlecht. Siehe hierzu auch --> "The Art of Patching".

 

4. On-Access-Scanner

 

Auch der Wächter hilft nicht weiter...

... eine Vielzahl von Trojanern tummelt sich munter im Arbeitsspeicher.




5. Testarchiv (96 Malwaresamples -- ohne Sparta11WWPack32)

 

Anm.: Das erweiterte Archiv mit 100 Samplen enthielt zwei weitere mit WWPack32 komprimierte Asylumserver, die jeweils mit unterschiedlichen Kompressionsstufen erstellt wurden. Ausserdem war Sparta11WWPack32 sowie der o.g. hexeditierte Bionetserver enthalten. Da PC-cillin ohnehin keine gepackte Malware erkennen konnte, kommt es insoweit nur auf den hexeditierten Bionetserver an.

 

6. Nachtest

 

Bei den beiden Nachtests am 1. und 9. Dezember 2002 wurde das Standardarchiv mit 113 Malwaresamples verwendet. Das Ergebnis ist nicht der Rede wert. Es wurden nur 15 ungepackte Malwaresamples erkannt.:

PC-cillin 2002 Log List
Time,Event,Source Type,Virus Name,File Name,First Action,Second Action

Scan,File,BKDR_SANISI.A,D:\Virentest\scantest\scantest2\assasin11.exe,Pass,,
Scan,File,BKDR_ASYLUM.013,D:\Virentest\scantest\scantest2\asylum013unpacked.exe,Pass,, Scan,File,BKDR_BIONET318.A,D:\Virentest\scantest\scantest2\Bionet318ungepackt.exe,Pass,, Scan,File,BKDR_LITH.103.A,D:\Virentest\scantest\scantest2\Lithium103petite22unpacked.exe,Pass,, Scan,File,BKDR_LITH.103.A,D:\Virentest\scantest\scantest2\Lithium103standard.exe,Pass,,
Scan,File,BKDR_NETDEVIL.B,D:\Virentest\scantest\scantest2\Netdevil12ungepackt.exe,Pass,,
Scan,File,TROJ_OPTIXKIL.30,D:\Virentest\scantest\scantest2\OptixKiller.exe,Pass,,
Scan,File,BKDR_OPTIX04.C,D:\Virentest\scantest\scantest2\optixlite04unpacked.exe,Pass,,
Scan,File,BKDR_OPTIXLIT5.A,D:\Virentest\scantest\scantest2\optixlite5.exe,Pass,,
Scan,File,BKDR_OPTIXPRO.12,D:\Virentest\scantest\scantest2\optixpro12konfiguriert.exe,Pass,, Scan,File,BKDR_OPTIXPRO.12,D:\Virentest\scantest\scantest2\optixpro12standard.exe,Pass,,
Scan,File,BKDR_OPTIXPRO.12,D:\Virentest\scantest\scantest2\optixpro12standardxitophexedited.exe,Pass,, Scan,File,BKDR_SPARTA.11,D:\Virentest\scantest\scantest2\Sparta11standard.exe,Pass,,
Scan,File,BKDR_AFG.A,D:\Virentest\scantest\scantest2\theefLe111unpacked.exe,Pass,,
sowie OptixLite04nKAVpatched.exe

 

 

7. Fazit und Analyse



PC-cillin 2002 geht recht sparsam mit den Ressourcen des Computers um, verfügt aber über keine brauchbare Unpacking Engine. Stattdessen wird eine rudimentäre Firewall mitgeliefert, die aber nicht an die Qualität einer selbstständigen Firewall heranreicht. Trend Micro verkennt insoweit die eigentliche Aufgabe eines AV/AT Scanners.

Negativ ist uns ausserdem aufgefallen, dass Institution 1.2, ein standardmässig ungepackter Lithium 1.03, CyberSpy, SilentSpy, MoSucker, Y3K Pro und sogar der bekannte Trojaner Bionet 4 nicht erkannt werden. Dies spricht gegen die Aktualität/Vollständigkeit der von Trend Micro verwendeten Signaturen. Weiterhin wurde ein manuell entpackter Bionet 3.18, ein hexeditierter Bionet 3.18 sowie ein manuell entpackter Netdevil 1.2 nicht erkannt. Dies spricht gegen die Qualität der von Trend Micro verwendeten Signaturen.

Positiv lässt sich nur feststellen, dass sich Trend Micro des Problems offenbar teilweise bewusst ist und aus diesem Grund eine neue Scan Engine entwickelt.