Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Sophos Anti-Virus --

1. Aus der Werbung (www.sophos.com)

"Sophos's unswerving focus on the anti-virus threat guarantees a rapid response to every new virus incident. Sophos Anti-Virus brings 100% virus protection across the entire network in both on-access and on-demand modes."

...

"This eliminates the deficiencies of many anti-virus solutions which impact on performance, compromise on detection or, more often, both. Sophos Anti-Virus's leading edge virus engine ensures 100% detection. The engine incorporates:

a full code emulator
an on-line decompressor
an OLE2 engine for detecting and disinfecting macro viruses"

...

"Anti-virus software from Sophos and many other anti-virus vendors detects against known RATs and backdoor Trojan horses"

...

"Sophos Anti-Virus has two main components, both of which are developed and maintained by Sophos:

A virus detection engine which scans files for viruses, Trojan horses and worms. (Throughout this paper the term "virus" is used loosely to reflect any of these types of malware.)"

2. Version und Konfiguration

 

Getestet wurde ausserdem am 2.11.2002 mit der älteren Version 3.62 und einem kleineren Testarchiv.

3. On-Demand-Scanner

 

 

Beim On-Demand-Scan wurde kein einziger gepackter oder gecrypteter Trojaner erkannt. Es konnten nur 8 ungepackte Trojaner aus dem 113 Malwaresamples umfassenden Standardarchiv identifiziert werden.

Darüberhinaus sind dem Scanner eine ganze Reihe von Trojanern selbst im Originalzustand nicht bekannt (u.a. Assasin 1.1, Bionet 4, Lithium 1.03, Optix Lite 0.5.). Auch die Wahl der Signaturen lässt zu wünschen übrig: Schon die obligatorische Konfiguration von OptixPro1.2 oder die Veränderung eines einzelnen Strings in Bionet 3.18 und Optix Pro 1.2 reichen aus, um die Trojaner für den Scanner unerkennbar zu machen (siehe "Wie wurde getestet" unter d)).

Einzig positiv: Sophos Anti-Virus konnte einige der manuell entpackten Trojaner finden.

Ein Test mit der älteren Version 3.62 und einem kleineren Testarchiv führte zu keinem besseren Ergebnis.

 

 

4. On-Access-Scanner

Wie erwartet konnte der Wächter nur diejenigen Schädlinge erkennen und blocken, die auch der On-Demand-Scanner finden konnte (im Bild wird der ungepackte Bionet 3.18 Server erkannt). Der mit WWPack32 gepackte Bionet 3.18 und eine Reihe weiterer Trojaner blieben in unserem Stichprobentest dagegen unbemerkt und gelangten deshalb problemlos in den Arbeitsspeicher (die Prozessnamen sind rot markiert).

Im Ergebnis reiht sich Sophos Anti-Virus damit in die Riege der Scanner ein, die praktisch keinerlei Schutz vor gepackter oder gecrypteter Malware bieten. In unseren Tests konnte nicht einmal der Ansatz einer Unpacking-Engine festgestellt werden; auch einen "Glückstreffer" durch spezielle Signaturen konnte der Scanner nicht erzielen. Sophos scheint insgesamt keinen großen Wert auf die Erkennung von Trojanern zu legen (selbst ungepackte Trojaner werden oftmals nicht identifiziert).

Bleibt nur noch offen, was Sophos eigentlich unter "Online-Dekompressor" (siehe 1. "Aus der Werbung") versteht ...

7. Fazit

F