Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Trojan Remover--

1. Aus der Werbung (www.simplysup.com)

"Trojan Remover was written to aid in the removal of Trojan Horses from a computer where standard anti-virus software has either failed to detect the Trojan Horse or is unable to effectively eliminate it."

...

"Trojan Remover will scan ALL the files loaded at boot time for Remote Access Trojans ('backdoors', like NetBus, SubSeven, Back Orifice etc.)."

2. Version und Konfiguration

 

Als reiner Anti-Trojaner-Scanner (AT) sollte Trojan Remover bei unseren Tests besonders gut abschneiden, um seinem Anspruch gerecht zu werden.

3. On-Demand-Scanner

Beim Scan unseres Standard-Testsets am 01.02.03 erkannte Trojan Remover 26 von 112 Trojanern.

Trojan Remover konnte erwartungsgemäß fast alle in ungepackter Form vorliegenden Trojaner erkennen. Bei gepackten und gecrypteten Samples musste der AT-Scanner aber weitgehend passen, da er keine Unpacking-Engine besitzt. Dass trotzdem einige gepackte Trojaner gefunden wurden, liegt an dem verstärkten Einsatz spezieller Signaturen, um wenigstens häufig verwendete Packer wie UPX und Aspack teilweise abzudecken. Dies führt übrigens zu den unterschiedlichen Bezeichnungen (Versionsnummern) der Trojaner in gepackter bzw. ungepackter Form.

Unser Testergebnis zeigt jedoch eindrucksvoll, dass diese Methode nicht ansatzweise den Verzicht auf eine Unpacking-Engine rechtfertigt.

Positiv ist zu vermerken, dass der Scanner nicht nach einfachen Text-String-Signaturen sucht, sondern offenbar starke (Code-)Signaturen verwendet. Durch simples Hex-Editieren kann ein Trojaner daher nicht vor Trojan Remover versteckt werden. Genausowenig konnten manuell ge- und wieder entpackte Schädlinge den AT täuschen. Selbst der gepatchte TheefLe, an dem mehrere gute Scanner scheiterten, wurde erkannt.

Eigentlich fehlt Trojan Remover also nur eine Unpacking-Engine.

Na ja, außerdem vielleicht noch ein...

4. On-Access-Scanner

Einen solchen besitzt Trojan Remover nämlich nicht. Dies ist zwar typisch für AT-Programme, aber leider fehlt auch ein Memory-Scan (à la Trojan Hunter oder TDS-3), der direkt im Arbeitsspeicher nach Trojanern suchen, und damit die fehlenden Unpack-Fähigkeiten zumindest teilweise kompensieren würde.

5. UPDATE: Trojan Remover 6.02

Nachdem Trojan Remover inzwischen bereits in der 6. Version erhältlich ist, wurde es Zeit für einen Nachtest. Um es kurz und schmerzlos zu machen: Wesentliche Verbesserungen konnten wir trotz der stark erweiterten Datenbank nicht feststellen ...

 

(Die Rückgang der Erkennungsrate von 26 auf 23 beruht u.a. darauf, dass OptixKiller nicht mehr erkannt wurde.)


6. Fazit

Trojan Remover kann unsere hohen Erwartungen an einen reinen AT-Scanner (noch immer) nicht erfüllen. Als Antwort auf die reale Bedrohung durch gepackte und gecryptete Trojaner hätte man schon mehr erwarten dürfen, als ein paar Signaturen gepackter Schädlinge.

Es soll aber nicht unerwähnt bleiben, dass einige Virenscanner (die ebenfalls behaupten, Trojaner finden zu können) noch deutlich schlechter abschneiden.

Möglich, dass die Stärken von Trojan Remover doch eher in der Entfernung von Trojaner-Resten zu finden sind...