Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Trojan Defence Suite 3.2 --

1. Aus der Werbung (http://www.diamondcs.com.au/)

"Executables can be scrambled, encrypted, encoded and rearranged beyond recognition. Simple FILE scanning signature scans are then rendered useless as the physical makeup of the file on disk is changed. TDS gets around this by scanning memory as well, where it checks the decompressed/decrypted/decoded process version of the .exe to test if it is a trojan."

...

"Optix Pro is very popular as the full featured trojan counterpart to Optix Lite. This trojan is very dangerous, and has meant a lot of research here at the DiamondCS Lab. Optix Pro has a full feature set, including what users are saying is the best screen and webcam capture of any trojan to date, along with rock solid stability.

TDS-3 has the ability to detect this trojan in file scans even if manually modified. The trojan should still be flagged with a positive identification due to advanced detection techniques employed. Executable compression does not stop TDS from detecting new variants, and version 1.1 did not even need analysis to be detected. We have further strengthened this detection since the release of version 1.1 to be sure of good detection rates. In memory, TDS should find all possible variants of Optix Pro unless it was rebuilt from scratch."

...

"You're just a short download away from the best protection available."

...

"Use the Process Memory Scan to find even more trojans just as easily, this is an extremely powerful detection method exclusive to TDS."

 

2. Version und Konfiguration

 

Die Tests erfolgten mit den Versionen 3.20 sowie 3.21. Es wurden dabei Signaturen vom 14.12.2002 verwendet. Um die Werbeaussagen von Diamond CS besser überprüfen zu können, wurde nicht nur mit dem Standardarchiv getestet, sondern auch eine Reihe von Zusatzexperimenten durchgeführt.

Zur Konfiguration: TDS-3 verfügt über eine Vielzahl von Konfigurations- und Scanoptionen, die für den Normalanwender nur schwer verständlich sind und hier nicht im einzelnen erläutert werden können.



3. File-Scan

 

Es wurden beim File-Scan 58 der 113 Malwaresamples des Standardarchivs erkannt oder zumindest als verdächtig eingestuft. Diese recht gute Erkennungsleistung konnte erzielt werden, da TDS-3 nicht nur signaturbasiertes Scannen unterstützt, sondern ausserdem eine Vielzahl verschiedener Analysemethoden verwendet, die zur Identifizierung von Malware dienen können. Eine brauchbare Unpacking-Engine konnten wir allerdings nicht feststellen. Wir hoffen, dass insoweit die seit langem angekündigte 4. Version des Programmes Abhilfe schaffen wird.

TDS-3 erkennt Trojaner im Unterschied zu vielen anderen Scannern nicht nur anhand von Signaturen. TDS-3 analysiert zusätzlich auch Aufbau und Funktionsweise eines Programmes und stuft es aufgrund dieser Analyse ggf. als verdächtig ein. Die ungewöhnliche Scantechnik von TDS-3 lässt sich am besten anhand eines kommentierten Logfiles verdeutlichen (unsere Kommentare sind durch Sternchen *** gekennzeichnet):

_________________________________________________________________

09:20:03 [Init] Loading Radius Advanced Scanning Systems ... <R3 Engine, DCS Labs>
09:20:10 [Init] • Radius Advanced Specialist Extensions on standby for 13 trojan families
09:20:10 [Init] • Systems Initialised [20548 references - 6445 primaries/5122 traces/8981 variants/other]
...
09:20:10 [Tip Of The Day] Did you know? - TDS-3 is the only anti-trojan system to offer UNPACKER Support. You can add recognition for EXE compressors and add the ability to use unpackers. If TDS-3 can see how the file was BEFORE it was compressed, chances are it will detect if the file is a trojan. See the help file for more information.

*** Did you know? Other scanners already have built-in UNPACKER Support. If you purchase such a scanner you do not need to do anything ... ***

 

09:20:10 [TDS] Good morning Administrator.

*** Hi there. Now please start the MP3-Player and bring me a coffee ... ***

09:20:13 [Memory Scan] Memory scan started, please wait a moment ...
09:20:14 [Memory Scan] Memory scan complete.
09:20:14 [Mutex Memory Scan] Started...
09:20:23 [Mutex Memory Scan] Finished (no trojan mutexes found).
09:20:23 [Trace Scan] Started...
09:20:31 [Trace Scan] Finished.
09:20:31 [File Scan] Scanning in -scand C:\DOKUME~1\ADMINI~1\Desktop\scantest
09:20:31 [File Scan] Scanning in C:\DOKUME~1\ADMINI~1\Desktop\scantest ...
09:20:49 [File Scan] Scanned 113 files: 61 alarms in 18,61719 seconds (Avg 7,07 files/sec)

*** Es werden 61-3=58 von 113 Malwaresamples erkannt. (3 Malwaresamples wurden doppelt erkannt und deshalb nicht mitgezählt.) Dies ist kein schlechtes Ergebnis. Hätte TDS jedoch eine brauchbare Unpacking Engine würde das Ergebnis voraussichtlich noch wesentlich besser ausfallen. ***

Scan Control Dumped @ 09:22:55 14-12-02
Positive identification (embedded in file): RAT.Assasin 1.1 Keylog plugin (dll)
File: c:\dokume~1\admini~1\desktop\scantest\assasin11.exe

Positive identification: RAT.Assasin 1.1
File: c:\dokume~1\admini~1\desktop\scantest\assasin11.exe

*** Der Trojaner Assasin wurde doppelt erkannt, da auch die eingebettete .dll identifiziert wurde. ***

Positive identification: RAT.Asylum 0.13
File: c:\dokume~1\admini~1\desktop\scantest\asylum013unpacked.exe

Positive identification <Adv>: RAT.Bionet 3.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet318aspack212.exe

*** TDS kann ASPack 2.12 (und viele andere Packer) nicht durchgängig entpacken. Ansonsten hätte beispielsweise auch der mit ASPack gepackte Netdevil 1.2 Server erkannt werden müssen. TDS identifiziert dennoch eine ganze Reihe von gepackten bzw. gecrypteten Malwaresamples zutreffend (siehe nachfolgende Logeinträge). Teilweise wurden zu diesem Zweck wohl separate Signaturen erstellt. Eine weitere Möglichkeit laufzeitkomprimierte/verschlüsselte Dateien zu erkennen besteht darin, solche Bereiche einer Datei zu analysieren, die normalerweise nicht gepackt oder verschlüsselt werden. Beide Methoden sind allerdings relativ unsicher. Die zuletzt genannte Methode ist deshalb unsicher, da sie leicht durch Hexeditieren umgangen werden kann. ***

Positive identification <Adv>: RAT.Bionet 3.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet318aspack212headerfaked.exe

Positive identification <Adv>: Suspicious: Microsoft-tagged exe built with Borland compiler
File: c:\dokume~1\admini~1\desktop\scantest\bionet318asprotect11.exe

*** Hier wird es interessant. TDS kann den mit ASProtect gepackten Bionet 3.18 Server nicht erkennen. Dennoch bemerkt TDS, dass mit dieser Datei etwas "faul" ist. Der Grund: Viele Trojanercoder benutzen zum Programmieren die von Borland erhältliche Sprache Delphi und tarnen die Malware anschliessend als vertrauenswürdige Microsoft-Anwendung. Es ist recht clever von TDS, einen solchen offensichtlichen Widerspruch zu erkennen. Allerdings funktioniert diese Erkennungsmethode nur so lange, wie die Datei fälschlich als von "Microsoft" stammend getagged ist. Wird die Datei beispielsweise als von "MICR0S0FT" stammend getagged, muss TDS passen. ***

Positive identification: RAT.Bionet 3.18 (Unpacked)
File: c:\dokume~1\admini~1\desktop\scantest\bionet318netwalker.exe

Positive identification <Adv>: RAT.Bionet 3.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet318netwalkerpetite22.exe

Positive identification <Adv>: RAT.Bionet 3.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet318pecompact15.exe

Positive identification <Adv>: Possible trojan server
File: c:\dokume~1\admini~1\desktop\scantest\bionet318peshield.exe

Positive identification <Adv>: RAT.Bionet 3.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet318petite22.exe

Positive identification <Adv>: RAT.Bionet
File: c:\dokume~1\admini~1\desktop\scantest\bionet318petite22un-packed.exe

Generic Detection: Possible trojan with password-stealing capability
File: c:\dokume~1\admini~1\desktop\scantest\bionet318petite22un-packed.exe

*** Hier wird erkannt, dass der Bionet Server die Fähigkeit zum Stehlen von Passwörtern besitzt. Diese verhaltensbezogene Analyse, die aber wohl nur bei ungepackten Dateien funktioniert, stellt eine Stärke von TDS-3 dar. (Der Server wurde zusätzlich auch auf herkömmlichem Wege identifiziert. Er wurde deshalb nicht doppelt gezählt.) ***

Positive identification <Adv>: RAT.Bionet 3.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet318petite22un-packedpecompact15.exe

Positive identification: RAT.Bionet 3.18 Modified
File: c:\dokume~1\admini~1\desktop\scantest\bionet318petite22un-packedtelock080.exe

Positive identification <Adv>: RAT.Bionet 4.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet318petite22un-packedxbyteprofsg.exe

Positive identification <Adv>: RAT.Bionet 4.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet318pklite3211.exe

Positive identification: RAT.Bionet 3.18 Modified
File: c:\dokume~1\admini~1\desktop\scantest\bionet318telock080.exe

Positive identification: RAT.Bionet 3.18 (Unpacked)
File: c:\dokume~1\admini~1\desktop\scantest\bionet318ungepackt.exe

Positive identification <Adv>: Suspicious: Microsoft-tagged exe built with Borland compiler
File: c:\dokume~1\admini~1\desktop\scantest\bionet318ungepacktteniobhexedited.exe

*** Offenbar wählt TDS-3 zur signaturbasierten Erkennung den Namen des Trojaners. Deshalb kann der hexeditierte Bionet 3.18 nicht konkret identifiziert, sondern nur aufgrund sonstiger Analysemethoden als verdächtige Malware erkannt werden. ***

Generic Detection: Possible trojan with password-stealing capability
File: c:\dokume~1\admini~1\desktop\scantest\bionet318ungepacktteniobhexedited.exe

*** Auch durch das Behaviour-Scanning wird der hexeditierte Bionet Server erkannt. Es handelt sich insoweit wieder um eine Doppelerkennung. ***

Positive identification <Adv>: RAT.Bionet 3.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet318upx.exe

Positive identification: RAT.Bionet 3.18
File: c:\dokume~1\admini~1\desktop\scantest\bionet318upxundaspack212.exe

Positive identification <Adv>: RAT.Bionet 3.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet318wwpack32v120.exe

Generic Detection: Possible trojan with password-stealing capability
File: c:\dokume~1\admini~1\desktop\scantest\bionet4manuellunpacked.exe

Positive identification <Adv>: RAT.Bionet 4.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet4manuellunpackedaspack212.exe

Positive identification <Adv>: RAT.Bionet 4.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet4manuellunpackedjdpack101.exe

Positive identification <Adv>: RAT.Bionet 4.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet4manuellunpackedpklite3211.exe

Positive identification <Adv>: RAT.Bionet 4.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet4manuellunpackedpklite3211headerfaked.exe

Positive identification <Adv>: RAT.Bionet 4.x
File: c:\dokume~1\admini~1\desktop\scantest\bionet4pecompact182.exe

Generic Detection: Possible trojan with password-stealing capability
File: c:\dokume~1\admini~1\desktop\scantest\bionet4standardunpacked.exe

Positive identification: RAT.Bionet 4.00.04
File: c:\dokume~1\admini~1\desktop\scantest\bionet4standardupx.exe

Positive identification: RAT.Bionet 4.00.04
File: c:\dokume~1\admini~1\desktop\scantest\bionet4standardupxfakeheader.exe

Positive identification: RAT.Lithium 1.03 (Unpacked)
File: c:\dokume~1\admini~1\desktop\scantest\lithium103petite22un-packed.exe

Positive identification: RAT.Lithium 1.03
File: c:\dokume~1\admini~1\desktop\scantest\lithium103standard.exe

Positive identification: RAT.Lithium 1.03 (Unpacked)
File: c:\dokume~1\admini~1\desktop\scantest\lithium103unpacked.exe

Positive identification <Adv>: RAT.MoSucker 3.x
File: c:\dokume~1\admini~1\desktop\scantest\mosucker30polymorph.exe

Positive identification: RAT.Net-Devil 1.2
File: c:\dokume~1\admini~1\desktop\scantest\netdevil12petite22un-packed.exe

Positive identification <Adv>: Possible trojan server
File: c:\dokume~1\admini~1\desktop\scantest\netdevil12pklite3211.exe

Positive identification: RAT.Net-Devil 1.2
File: c:\dokume~1\admini~1\desktop\scantest\netdevil12ungepackt.exe

Positive identification: RAT.Optix Lite 0.4N
File: c:\dokume~1\admini~1\desktop\scantest\optix04nkavsignaturepatched.exe

Positive identification: Destruct.Optix Killer 3
File: c:\dokume~1\admini~1\desktop\scantest\optixkiller.exe

Positive identification: RAT.Optix Lite 0.4
File: c:\dokume~1\admini~1\desktop\scantest\optixlite04netwalker.exe

Positive identification <Adv>: Possible WebDownloader
File: c:\dokume~1\admini~1\desktop\scantest\optixlite04pecompact150.exe

*** Hier ist uns nicht ganz klar, wie TDS-3 den gepackten Optix Lite Server erkennt. Offenbar wurde keine spezielle Signatur erstellt, sondern es erfolgt eine Art heuristische Erkennung als Webdownloader. Immerhin: Es funktioniert. Ein ähnliches Verhalten ist auch bei einer Reihe von weiteren Logeinträgen zu beobachten. ***

Positive identification: RAT.Optix Lite 0.4
File: c:\dokume~1\admini~1\desktop\scantest\optixlite04unpacked.exe

Positive identification <Adv>: Possible WebDownloader
File: c:\dokume~1\admini~1\desktop\scantest\optixlite04upx.exe

Positive identification: RAT.Optix Lite 0.4
File: c:\dokume~1\admini~1\desktop\scantest\optixlite04winkript.exe

Positive identification: RAT.Optix Lite 5.01
File: c:\dokume~1\admini~1\desktop\scantest\optixlite5.exe

Positive identification <Adv>: Possible WebDownloader
File: c:\dokume~1\admini~1\desktop\scantest\optixlite5aspack212.exe

Positive identification: RAT.Optix Pro 1.2
File: c:\dokume~1\admini~1\desktop\scantest\optixpro12konfiguriert.exe

Positive identification <Adv>: RAT.Optix Pro 1.2
File: c:\dokume~1\admini~1\desktop\scantest\optixpro12konfiguriertasprotect11.exe

Positive identification <Adv>: RAT.Optix Pro 1.2
File: c:\dokume~1\admini~1\desktop\scantest\optixpro12konfigurierttelock080.exe

Positive identification: RAT.Optix Pro 1.2
File: c:\dokume~1\admini~1\desktop\scantest\optixpro12standard.exe

Generic Detection: Possible trojan with password-stealing capability
File: c:\dokume~1\admini~1\desktop\scantest\optixpro12standardxitophexedited.exe

*** Auch hier zeigt sich, dass TDS-3 offenbar den Namen des Trojaners zur signaturbasierten Erkennung benutzt und somit durch simples Hexeditieren getäuscht werden kann. Im Gegensatz zu anderen Scannern verfügt TDS-3 aber über weitere Erkennungsmethoden. Hier greift beispielsweise das Behaviour-Scanning. ***

Positive identification: RAT.Silent Spy 2.09
File: c:\dokume~1\admini~1\desktop\scantest\silentspy210.exe

Positive identification <Adv>: Possible WebDownloader
File: c:\dokume~1\admini~1\desktop\scantest\sparta11aspack212.exe

Positive identification <Adv>: Possible WebDownloader
File: c:\dokume~1\admini~1\desktop\scantest\sparta11pecompact182.exe

Positive identification: RAT.SpArTa 1.1
File: c:\dokume~1\admini~1\desktop\scantest\sparta11standard.exe

Positive identification: RAT.TheefLE 1.11
File: c:\dokume~1\admini~1\desktop\scantest\theefle111unpacked.exe

Positive identification: RAT.TheefLE 1.11
File: c:\dokume~1\admini~1\desktop\scantest\theeflite1.11jojopatch.exe

*** Dieser Patch sollte eigentlich gerade die Erkennung durch TDS verhindern. Dies scheint aber nicht (mehr?) zu funktionieren. Möglicherweise hat TDS inzwischen eine neue Signatur für den gepatchten Server erstellt. Wir konnten dies nicht nachprüfen, da uns keine alten Signaturen zur Verfügung standen. ***

Positive identification: RAT.Y3K Rat Pro 0.2
File: c:\dokume~1\admini~1\desktop\scantest\y3kpro02.exe

_____________________________________________________________

Was wurde nicht erkannt?

Es wurde eine ganze Reihe von gepackten Malwarespamples nicht erkannt. Selbst die mit UPX gepackten TheefLE Server sowie die mit WWPack32 gepackten Asylum Server wurden nicht erkannt. Dies deutet daraufhin, dass TDS-3 keine brauchbare Unpacking Engine besitzt.

Für besonders weit verbreitete Trojaner hat Diamond CS offenbar spezielle Signaturen erstellt oder sonstige Anstrengungen unternommen, so dass auch viele gepackte oder verschlüsselte Versionen direkt identifziert werden können. Diamond CS wirbt selbstbewusst damit, dass der besonders bedeutsame und gefährliche Optix Pro 1.2 Server bereits beim Filescan erkannt werden kann und zwar selbst dann, wenn der Server manipuliert oder gepackt wurde. Den Packer Armadillo lassen solche Werbesprüche allerdings kalt ...

Was die Aktualität und Vollständigkeit der Signaturendatenbank angeht, leistet sich TDS-3 erwartungsgemäss keine Schwächen. Diamond CS ist (ähnlich wie Kaspersky Labs.) seit langem bekannt dafür, das Geschehen in der VX Szene genau zu überwachen und auf neue Gefahren schnell zu reagieren.



4. Memory Scanner

Das bereits nicht ganz schlechte Ergebnis von TDS-3 beim Filescan wird durch den Memory Scanner noch deutlich übertroffen. Wir haben stichprobenweise eine Reihe von gepackten Trojanerservern gestartet, die beim Filescan unbemerkt blieben. Fast alle Trojaner wurden im Speicher erkannt. Siehe nachfolgende Screenshots:

 

Hier wurde der mit Armadillo gepackte Bionet 3.18 Server im Speicher eindeutig identifiziert, sofern die Funktion "Process Memory Scan" verwendet wurde. (Auch der hexeditierte Bionet Server wurde übrigens erkannt -- auf dem Screenshot nicht zu sehen.) Unerkannt blieb der ebenfalls gestartete Asylum Server.

 

Auch der mit tElock gepackte (und beim Filescan nicht erkannte) Netdevil 1.5 Server wurde nach dem Starten identifiziert. Allerdings nicht per "Object Memory Scan", sondern nur per "Process Memory Scan". Der gepackte Asylum Server, der beim Filescan unbemerkt blieb, wird dagegen - wie bereits der ungepackte Server - im Speicher nicht erkannt (zu erkennen auf dem zweiten der beiden nachfolgenden Screenshots).

 

Schliesslich haben wir noch ein Zusatzexperiment durchgeführt. Wir wollten nicht nur den kleinen Asylum-Uploader, sondern auch einen voll funktionsfähigen, grossen Bionetserver an TDS-3 "vorbeischmuggeln". Auf dem Screenshot ist zu erkennen, dass der mit Armadillo gepackte und zusätzlich hexeditierte Bionetserver beim Filescan zwar nicht eindeutig erkannt wird, aber auf Grund der Diskrepanz zwischen Microsoft-Tag und verwendetem Borlandcompiler als verdächtig eingestuft wird. Wird auch noch das Microsoft-Tag modifiziert, schafft es der hexeditierte Server zwar bis in den Arbeitsspeicher. Aber zumindest hier erkennt TDS-3 per Behaviour-Scanning, dass eine bösartige Anwendung mit einem Process-Killer (gemeint ist die von Bionet verwendete Funktionalität zum Beenden von Firewalls bzw. AV/AT Scannern) gestartet wurde, und schlägt deshalb Alarm.

 

UPDATE 1: Die verhaltensbezogene Analyse von TDS-3, mit der auch unbekannte Trojaner entdeckt werden können, hinterliess bei uns einen besonders positiven Eindruck. Daher wurde noch ein ergänzender "Härtetest" durchgeführt: Nach dem Erscheinen des Trojaners "Beast 1.90" (Ende 2002) wurde dieser gestartet und anschliessend der Process Memory Scan mit TDS-3 durchgeführt. Dabei wurden TDS-3 Signaturen aus dem Jahr 2001 verwendet! Dennoch konnte TDS-3 diese ihm noch völlig unbekannte Malware als Trojaner identifizieren. Auch der Trojaner Optix Pro 1.2 konnte trotz fehlender Signatur als Schädling erkannt werden. Eine derart gut funktionierende Heuristik haben wir bislang bei keinem anderen AV/AT Scanner feststellen können.

Im Ergebnis ist der Memory Scanner von TDS-3 also sehr brauchbar. Wir haben dies stichprobenweise auch noch mit weiteren Trojanern ausprobiert. Komplett versagt hat TDS-3 dabei nur in einem Fall: Asylum 0.13 blieb unbemerkt.

Der Nachteil des Scannens im Arbeitsspeicher besteht darin, dass ein bereits gestarteter Trojaner seine Schadwirkung im Prinzip entfalten kann, bevor ihn der AV/AT Scanner entdeckt. Dies schliesst das Unbrauchbarmachen des Scanners ein.

Beispielsweise haben wir einen gepackten Optix Killer starten können, den TDS-3 beim Filescan nicht zu entdecken vermochte. Anschliessend gelang es uns nicht, dieses Malwareprogramm mit Hilfe von TDS-3 im Speicher zu entdecken und zu entfernen: Optix Killer liess es erst gar nicht zu, dass TDS-3 seine Arbeit aufnahm. TDS-3 wurde von Optix Killer sofort nach dem Start wieder beendet. (Immerhin wäre der Anwender in einem solchen Fall wohl misstrauisch geworden und hätte es vielleicht geschafft, das Malwareprogramm manuell zu entfernen. Ausserdem kann der schlaue Anwender den Dateinamen tds-3.exe umbennen, um solche Killerprogramme in die Irre zu führen.) Dennoch wird an diesem Beispiel deutlich, dass ein Memory Scanner eine gute Unpacking Engine nur ergänzen, nicht aber ersetzen kann.

Weiterhin ist zu bemerken, dass der "Process Memory Scan" (im Gegensatz zum weniger effektiven "Object Memory Scan") teilweise so quälend langsam erfolgte, dass es schien, als sei TDS-3 längst abgestürzt. Wenn nur wenige Anwendungen im Arbeitsspeicher liefen, erfolgte der "Process Memory Scan" etwas schneller.

 

UPDATE 2: Unser Test des Konkurrenzproduktes TrojanHunter veranlasste uns dazu, auch bei TDS-3 zu überprüfen, ob moderne Trojaner, die sich das Prinzip der DLL Injektion zu Nutze machen, im RAM erkannt werden können. Erste Tests mit den Trojanern Optix Lite FWB Special Edition sowie Cold Fusion führten zu dem ernüchternden Ergebnis, dass auch TDS-3 nicht in der Lage ist, bösartige dynamic link libraries (DLLs) im Arbeitsspeicher zu erkennen. (Immerhin konnte TDS-3 die von Optix Lite FWB Special Edition verwendte plugin32.dll beim Filescan identifizieren.) Ein weiterer Test mit dem Trojaner Beast 2.00 führte allerdings zu einem positiveren Ergebnis:

Offenbar beherrscht der TDS-3 Scanner das Aufspüren von DLLs im RAM also doch, wenn er denn ausnahmsweise Lust dazu verspürt. In der Regel genügt es zur Erkennung von DLL Trojanern allerdings nicht, die Funktion "Object Memory Scan" zu aktivieren. Vielmehr ist es notwendig, den TDS Process Viewer zu öffnen und anschliessend umständlich die Module eines jeden einzelnen aktiven Prozesses "per Hand" zu scannen.

Das von TDS-3 auf dem Bildschirmfoto angebotene Löschen des mit der beast.dll infizierten Internet Explorers funktioniert übrigens (zum Glück) nicht. Der Anwender muss also selbst sehen, wie er den Trojaner wieder los wird, z.B. mittels des von DiamondCS angebotenen Freeware-Tools APM.

5. Fazit



TDS-3 ist ein spezieller Trojanerscanner, der in Ergänzung zu einem herkömmlichen AV Scanner eingesetzt werden kann.

TDS-3 verfügt zwar (leider) über keine brauchbare Unpacking Engine, erzielt aber beim Filescan dennoch keine ganz schlechten Ergebnisse. Dies ist auf eine Reihe von alternativen Erkennungstechniken zurückzuführen.

Die eigentliche Stärke von TDS-3 ist das Scannen im Arbeitspeicher (in Verbindung mit einer Verhaltensanalyse). Hierbei werden im Prinzip sehr gute Resultate erzielt. Allerdings scheint TDS-3 nicht durchgängig im RAM nach dynamic link libraries zu scannen. Da viele moderne Trojaner inzwischen die Technik der .dll Injektion beherrschen, besteht insoweit eine Sicherheitslücke (vgl. zur Problematik auch den Tests des Konkurrenzproduktes TrojanHunter).

TDS-3 ist so sperrig und kompliziert zu bedienen, dass Normalanwender mit diesem Programm wohl kaum glücklich werden. Ausserdem sind viele Scanresulate stark interpretationsbedürftig. Der unerfahrene Anwender weiss daher nicht immer, ob TDS-3 ein Schadprogramm entdeckt oder nur einen Fehlalarm ausgelöst hat. Wer sich mit seiner Sicherheitssoftware nicht im Detail auseinander setzen möchte und einen speziellen AT Scanner sucht, der auch im Arbeitsspeicher zu scannen vermag, wird daher möglicherweise zum Konkurrenzprodukt TrojanHunter greifen.

Im Kreis der Security-Enthusiasten besitzt TDS-3 dagegen (nicht ganz zu Unrecht) Kultstatus. Uns hat insoweit besonders die verhaltensbezogene Analyse gefallen.

UPDATE: Diamond CS hat uns inzwischen mitgeteilt, dass der Nachfolger von TDS-3 auch in einer leichter zu bedienenden Version erscheinen soll. Ausserdem soll der Speicherscanner zukünftig als residenter Monitor (und nicht nur als On Demand Scanner) arbeiten können. Last but not least wird offenbar auch eifrig an einer Unpacking Engine für den Dateiscanner programmiert. Wir sind gespannt ...