Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Reliable Antivirus (RAV)--

1. Aus der Werbung (www.ravantivirus.com)

 

"Worry less! RAV is watching."

...

"RAV Engine is a proprietary technology combining all the operational strength, the extensibility, the scalability, the scanning speed and the robustness needed in the fight against viruses and other malware (Trojans, worms, hoaxes, etc.)."

 

2. Version und Konfiguration

Zu der von uns getesteten Evaluierungs-Version heißt es auf der Hersteller-Seite: "All products are fully functional during the evaluation period. Technical Support included!"

 

Dies sind die Einstellungen des On-Demand-Scanners.

 

Und dies die Einstellungen des Monitors.

3. On-Demand-Scanner

Von den 112 Schädlingen aus unserem Standard-Testset konnte RAV insgesamt 81 richtig erkennen, wobei allerdings zwei Exemplare nur als "verdächtig" eingestuft wurden.

Die komplette Liste der gefundenen Trojaner finden Sie hier.

Sein gutes Ergebnis verdankt RAV einer leistungsfähigen Unpack-Engine, die aber noch nicht ganz ausgereift zu sein scheint: Lediglich mit Armadillo, ASProtect, PECompact1.50 und Netwalker konnte der Scanner überhaupt nichts anfangen. Die übrigen Packer und Crypter wurden im Prinzip zwar erkannt, bereiteten dem Scanner allerdings in Einzelfällen Probleme (vgl. PECompact1.8x, Petite2.2, JDPack1.01 und UPX0.84). Der mit Winkript und PECompact18x zweifach-gepackte Netdevil15 wurde ebenfalls nicht erkannt, obwohl RAV mit beiden Packern isoliert umgehen kann. Die vereinzelten Erkennungsschwächen deuten darauf hin, dass die RAV Unpack-Engine noch einige Fehler im Detail aufweist.

In den übrigen Test-Disziplinen zeigte RAV praktisch keinerlei Schwächen. Bis auf Y3kPro wurden alle Trojaner grundsätzlich erkannt. Hex-editierte, umkonfigurierte und manuell entpackte Malware sowie gefälschte Datei-Header brachten RAV nicht ins Schwitzen.

Leider blieb der gepatchte TheefLe-Server unerkannt, obwohl der Patch nicht auf die Umgehung von RAV ausgelegt worden ist.




4. On-Access-Scanner

Der RAV-Monitor gab uns echte Rätsel auf...

Im Rahmen des üblichen Testprozedere schien auf den ersten Blick alles in Ordnung zu sein. Erwartungsgemäß meldete der Wächter immer dann einen Trojaner-Fund, wenn wir einen Schädling markierten, der auch vom On-Demand-Scanner erkannt worden war.

Bei der anschließenden Überprüfung, ob auch der Start der Schädlinge verhindert wird, gab es dann erste Anzeichen von Unregelmäßigkeiten. Zwar erschien bei jedem Trojaner-Sample die zu erwartende Warnung, dass ein Schädling gefunden wurde. Aber einige der Schädlinge konnten offenbar trotzdem "am Wächter vorbei" gestartet werden. Dabei machte es keinen Unterschied, ob der Trojaner gepackt oder ungepackt war. Auch der Grad der Systembelastung spielte keine Rolle.

Weitere Tests offenbarten dann unter Zuhilfenahme des Taskmanagers eine überraschende Erkenntnis: Der RAV-Monitor war nicht in der Lage, auch nur einen einzigen Trojaner vollständig am Start zu hindern; jedesmal wurde zumindest für (sehr) kurze Zeit der entsprechende Trojaner-Prozess erstellt. In den meisten Fällen verschwand der Prozess aber wieder, d.h. der Trojaner war nicht funktionsfähig. Möglicherweise, so dachten wir, verfolgt RAV eine andere Strategie als alle anderen getesteten Wächter, und stoppt einen Schädling erst kurz nach dem Ausführen - leider eine falsche Annahme, denn einige Trojanerprozesse dachten gar nicht daran wieder zu verschwinden, sondern werkelten unbehelligt im RAM vor sich hin.

Das folgende Bild zeigt dieses ungewöhnliche Verhalten des Wächters:

Trotz der Warnung durch den RAV-Monitor und der angezeigten Zugriffsverletzung ("Cannot open file..."), wurde ein Bionet318-Prozess gestartet. Dieser blieb zwar im RAM, konnte seine Trojaner-Aktivität aber nicht entfalten.

Einige weitere Trojaner (z.B. OptixLite5) zeigten immerhin den für Trojaner üblichen "Fake Error", verschwanden danach aber wieder aus dem Arbeitsspeicher und blieben somit weitgehend unschädlich.

Eine kleine Anzahl von Trojanern aus unserem Testset (darunter Asylum, Lithium103 und Netdevil12 - alle drei sind auf dem obigen Screenshot rot markiert) ließ sich durch den RAV-Monitor überhaupt nicht beeindrucken. Sie konnten problemlos gestartet werden und gingen ihrer "Arbeit" anschliessend wie vorgesehen nach (vgl. nachfolgenden Screenshot).

Auf dem Screenshot ist das Versagen des Wächters am Beispiel des ungepackten Silentspy-Servers nochmal etwas deutlicher dokumentiert. Ungeachtet der korrekten Virus-Warnung durch den Wächter gelangte Silentspy in den Arbeitsspeicher und erfüllte seine Lauschaufgabe: Indem er zwei verschiedene Ports öffnete und auf Verbindungen wartete, erlaubte er einem nicht-authorisierten Benutzer den Zugriff auf den Rechner. Dies ist im unteren Teil des Bildes anhand eines Portviewers zu erkennen.

Das zuvor beschriebene, überraschend nachlässige Verhalten des RAV-Monitors konnten wir auf mehreren WinXP-Systemen beobachten. Inwieweit auch andere Windows-Versionen betroffen sind, wurde nicht getestet.

 

 

5. Fazit

RAV besitzt eine brauchbare und vergleichsweise leistungsfähige Unpack-Engine, an deren Zuverlässigkeit aber noch gearbeitet werden sollte: Es wurden mehrere modifizierte Schädlinge nicht identifiziert, obwohl die verwendeten Packer oder Crypter dem Scanner eigentlich bekannt waren.

Ansonsten lässt der On-Demand-Scanner fast keinerlei Wünsche offen.

Im krassen Widerspruch hierzu verhält sich die Leistung des On-Access-Wächters (zumindest unter WinXP). Aus nicht weiter ersichtlichen Gründen versagte der Monitor in der Standard-Disziplin, korrekt identifizierte Schädlinge am Start zu hindern. Mehrere Trojaner konnten den Wächter ohne Einschränkung passieren.

Von der schon im Namen des Scanners angepriesenen "Verlässlichkeit" kann daher keine Rede sein. Es mutet eher wie ein glücklicher Zufall an, wenn der Wächter einmal nicht patzt...