Verhaltensbasierende Erkennung

Transcription

VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN
VERGLEICHSTEST
VERHALTENSBASIERENDE ERKENNUNG
VON SCHADPROGRAMMEN
VERGLEICHSTEST
Die verhaltensbasierende Erkennung der unten angeführten Programme wird mit zehn verschiedenen Schadprogrammen auf ihre Wirksamkeit überprüft.
GETESTETE PROGRAMME
a-squared Anti-Malware
Comodo Internet Security
Online Armor
Outpost Firewall Pro
ThreatFire
TESTMETHODE
Alle Programme werden mit den Standardeinstellungen getestet, so wie sie fraglos von der großen
Mehrzahl der Benutzer auch verwendet werden und das erleichtert natürlich auch die Vergleichbarkeit, da so einfach zu erkennen ist, welcher Schutz durch diese HIPS, IDS oder Verhaltensblocker
Module der Programme „Out of the box“, also eben mit den Standardeinstellungen geboten wird.
Als Betriebssystem kam Windows XP Pro SP3 inklusive aktueller Updates zum Einsatz. Alle Tests
wurden unter einem Administratorkonto ausgeführt.
Für die Tests wurden mit FirstDefense-ISR fünf identische Snapshots erstellt und in jeden Snapshot
ein zu testendes Programm installiert. Diese fünf Snapshots wurden auf einer externen Festplatte
archiviert und nach jedem Test wiederhergestellt. Zusätzlich wurde bei Bedarf Shadow Defender
zur Virtualisierung des Systems verwendet.
Da mit Schadprogrammen getestet wurde, welche die Anti-Virus bzw. Anti-Spyware Module einige
der getesteten Programme zum Teil erkennen, wurden folgende Einstellungen für eine verhaltensbasierende Erkennung vorgenommen:
✗ a-squared Anti-Malware – Der Anti-Virus OnExecution Scan wurde deaktiviert.
✗ Comodo Internet Security – Die Anti-Virus Echtzeit-Prüfung wurde auf Aus gestellt.
✗ Online Armor – Es wurden keine Veränderungen vorgenommen.
✗ Outpost Firewall Pro – Der Anti-Spyware Echtzeit-Schutz wurde deaktiviert.
✗ ThreatFire – Es wurden keine Veränderungen vorgenommen.
Seite 1
VERGLEICHSTEST
Alle Schadprogramme wurden aus Sicherheitsgründen Offline ausgeführt, also ohne eine aktive
Verbindung zum Internet. Die diversen Community-Features der Programme spielten deswegen
bei der Ausführung keine Rolle.
Jedes Programm wurde vor der Ausführung eines Schadprogramms über das Internet aktualisiert
bzw. es wurde die aktuellste Version installiert.
Die Versionsnummern der getesteten Programme sind bei den einzelnen Tests angegeben.
Die Benennung der Schadprogramme erfolgt nach Kaspersky.
Mit dem für jedes Schadprogramm angegebenen MD5 Hash ist die exakte Datei des Tests definiert
und es kann z.B. bei VirusTotal das verwendete Schadprogramm überprüft werden.
Die relevanten Aktionen der Schadprogramme werden beim jeweiligen Test erläutert.
Die Auswahl der Schadprogramme für den Test erfolgte natürlich nicht mit den getesteten Programmen, sondern mit Anubis, Viruslist, ThreatExpert, mit dem Real-Time Defender, SanityCheck,
GMER, dem Process Explorer, RunScanner und diversen anderen Webseiten und Tools.
BEWERTUNG
Test bestanden – das getestete Programm hat alle schädlichen Aktionen und alle unerwünschten
Systemveränderungen verhindern können.
Test nicht bestanden – das getestete Programm hat nicht alle schädlichen Aktionen und alle unerwünschten Systemveränderungen verhindern können.
Mit schädliche Aktionen sind die primären Aktionen der Schadprogramme gemeint, wie z.B. das
erfolgreiche Installieren eines globalen Hooks.
Mit unerwünschte Systemveränderungen sind sekundäre Aktionen der Schadprogramme gemeint,
wie z.B. das Deaktivieren des Task-Managers.
Die Ausführung der Schadprogramme wurde selbstverständlich für den Test immer zugelassen.
Geantwortet wurde bei den Meldungsfenstern immer mit Standardantworten, die erweiterten
bzw. verborgenen Menüs einiger Programme wurden beim Test ignoriert.
Beispielhaft wird für jedes Programm ein Meldungsfenster gezeigt, falls ein solches erscheint. Dieses ist aber nicht zwangsläufig für die Bewertung relevant, sondern es hat auch einen informativen
Charakter, um die Verständlichkeit der Meldungsfenster der getesteten Programme darzustellen.
Test 1: Trojan.Win32.Qhost.kkf
MD5 Hash: dfa8bd5282276be8d74f95d9ead9ea8f
Der Trojaner erzeugt einen Autostart, verändert die Hosts Datei, debuggt auf Systemlevel, deaktiviert u.a. den Task-Manager, schreibt in den virtuellen Speicher des Explorers und greift über die
systempre.exe auf das Netzwerk zu, um Angreifern den Remote-Zugriff zu ermöglichen.
Seite 2
VERGLEICHSTEST
Programmversion: 4.5.0.1
Das schädliche Verhalten wird
bei der Ausführung erkannt.
Mit Blockieren konnte der Trojaner unschädlich gemacht
werden.
a-squared Anti-Malware hat
den Test 1 bestanden.
Comodo Internet Security erkennt die erste Aktion des Trojaners, die Erstellung des AutostartEintrages in der Registrierung.
Mit Blockieren wurde die Aktion verboten und
das Programm beendet, ohne irgendeinen
Schaden verursachen zu können.
Comodo Internet Security hat den Test 1 bestanden.
Seite 3
VERGLEICHSTEST
Online Armor
Nach der Erlaubnis der Ausführung wurden alle weiteren Aktionen verboten.
Die schädlichen Aktionen wurden zwar
alle geblockt, allerdings wurde die Deaktivierung des Task-Managers und die Löschung eines Hosts Eintrages (127.0.0.1
localhost) nicht verhindert.
Online Armor hat den Test 1 nicht bestanden.
Programmversion: 6.5.4 (2525.381.0687)
Es wurde die Erstellung und Ausführung
der systempre.exe nicht verhindert.
Die Datei war als aktiver Prozess im TaskManager.
CureIt fand diese systempre.exe in System32 Verzeichnis von Windows.
Auch der angegebene Zielprozess im Bild
links ist falsch, das war in Wirklichkeit die
Explorer.exe.
Outpost Firewall Pro hat den Test 1 nicht
bestanden.
Anmerkung: Warum die GUI Texte nicht vollkommen sichtbar waren, ist nicht nachvollziehbar.
Es wurde die Standardeinstellung von 96 DPI und das Windows Zune Theme verwendet.
Seite 4
VERGLEICHSTEST
ThreatFire
ThreatFire erkennt den Trojaner
und sperrt ihn automatisch.
ThreatFire hat den Test 1 bestanden.
Anmerkung:
Bei dem roten Warnfenster handelt
es sich nicht um Signaturerkennung,
sondern die Verhaltensanalyse der
Datei stimmt mit der einer bekannten Bedrohung überein.
Testergebnis
Test 1
a-squared
Anti-Malware
Comodo
Internet Security
Online Armor
Outpost Firewall
Pro
ThreatFire
Trojan.Win32.
Qhost.kkf
Test bestanden
Test bestanden
Test nicht
bestanden
Test nicht
bestanden
Test bestanden
Test 2: Trojan.Win32.KillAV.yp
MD5 Hash: eb8f9302faa3800f69d603a49ccf5ead
Der Trojaner erzeugt Batch-Dateien, die ausführt und später wieder gelöscht werden.
Die Hosts Datei wird gelöscht und durch eine manipulierte Datei ersetzt. Der Browser und der Generic Host Process werden über die batchfile.bat manipuliert und der Browser mit einer veränderten Seite gestartet. Durch die veränderte Hosts Datei wird auf bestimmte Seiten umgelenkt.
a-squared Anti-Malware zeigte bei der Ausführung des Trojan.Win32.KillAV.yp keine Reaktion.
Die Hosts Datei wurde verändert und der Browser mit der manipulierten Seite gestartet.
Das Malware-IDS Protokoll war leer.
a-squared Anti-Malware hat den Test 2 nicht bestanden.
Seite 5
VERGLEICHSTEST
Auch Comodo Internet Security zeigte keine Reaktion.
Die Hosts Datei wurde ebenfalls verändert und der Browser mit der manipulierten Seite gestartet.
Unter Defense+ Ereignisse waren keine Einträge vorhanden.
Comodo Internet Security hat den Test 2 nicht bestanden.
Online Armor
Online Armor warnt mehrfach vor den Aktionen des Trojan.Win32.KillAV.yp, unter
anderem vor der Erstellung und Ausführung der Batch-Dateien, vor der Veränderung der Hosts Datei und auch vor dem
Start des Browsers über die Batch-Datei,
wie im Bild links zu sehen ist.
Alle diese Aktionen wurden von Online
Armor geblockt.
Online Armor hat den Test 2 bestanden.
Die Outpost Firewall Pro zeigte auch keine Reaktion auf das Ausführen des Trojan.Win32.KillAV.yp.
Die Hosts Datei wurde verändert und der Browser mit der manipulierten Seite gestartet.
Im Event Viewer waren keine relevanten Einträge.
Outpost Firewall Pro hat den Test 2 nicht bestanden.
Seite 6
VERGLEICHSTEST
ThreatFire
ThreatFire meldet zwar
das verdächtige Verhalten
und verschiebt bei „beenden und sperren“ alles
in die Quarantäne, nur
war zu diesem Zeitpunkt
die originale Hosts Datei
vom Trojaner schon gelöscht worden. Die veränderte
Hosts
Datei
konnte er allerdings nicht
mehr erstellen, das hat
ThreatFire verhindert.
ThreatFire hat den Test 2
nicht bestanden.
Testergebnis
Test 2
a-squared
Anti-Malware
Comodo
Internet Security
Online Armor
Outpost Firewall
Pro
ThreatFire
Trojan.Win32.
KillAV.yp
Test nicht
bestanden
Test nicht
bestanden
Test bestanden
Test nicht
bestanden
Test nicht
bestanden
Test 3: Trojan-Spy.Win32.KeyLogger.ng
MD5 Hash: 9db796ec20fd0c30f2b59c2bb7d65de7
Der Trojan-Spy.Win32.KeyLogger.ng zeichnet Eingaben auf und versendet diese über eine integrierte SMTP Client Engine.
Dazu erstellt er drei DLLs im Windows Verzeichnis, die LINKINFO.dll, die olinkinfo.dll und die
SFDLL.DLL und lässt diese automatisch mit dem Explorer starten.
Zur sofortigen Integration der DLLs beendet der Trojaner den Explorer Prozess und startet ihn neu.
Seite 7
VERGLEICHSTEST
Nach dem Blockieren der Aktion bleibt nur die LINKINFO.DLL
als 0-Byte Datei im Windows
Verzeichnis zurück.
Der Trojan-Spy.Win32.KeyLogger.ng wurde also praktisch
vollkommen unschädlich gemacht.
Trotz des Blockierens wurde die LINKINFO.DLL im
Windows Verzeichnis erstellt und in den Explorer geladen.
Ein weiteres Meldungsfenster gab es nicht.
Comodo Internet Security hat den Test 3 nicht
bestanden.
Anmerkung:
Das Comodo Anti-Virus erkannte die in den Explorer Prozess geladene Datei LINKINFO.DLL als
TrojWare.Win32.Spy.KeyLogger.qc@6628116.
Seite 8
VERGLEICHSTEST
Online Armor
Die Erstellung der DLLs und das Beenden
und Neustarten des Explorers konnte mit
Online Armor beblockt werden.
Auf die Ausführung des Trojan-Spy.Win32.KeyLogger.ng erfolgte keinerlei Reaktion der Outpost
Firewall Pro. Der Explorer wurde sofort beendet und neu gestartet und alle drei DLLs waren danach
in den Explorer Prozess geladen.
Seite 9
VERGLEICHSTEST
ThreatFire
ThreatFire entfernt zwei
der drei DLLs und verhindert den Neustart des
Explorers. Die dritte DLL,
die olinkinfo.dll, bleibt
nach der Aktion verwaist
im Windows Verzeichnis
zurück. Sie wurde also
nicht in den Explorer geladen. Diese olinkinfo.dll
wird bei VirusTotal von
keinem Anti-Virus als
schädlich erkannt.
bestanden.
Testergebnis
Test 3
a-squared
Anti-Malware
Comodo
Internet Security
Online Armor
Outpost Firewall
Pro
ThreatFire
Trojan-Spy.Win32.
KeyLogger.ng
Test bestanden
Test nicht
bestanden
Test bestanden
Test nicht
bestanden
Test bestanden
Test 4: Trojan-Spy.Win32.Hookit.11
MD5 Hash: acc1d8be8fe39e00c492efec18151229
Der Trojan-Spy.Win32.Hookit.11 öffnet zwei Fenster, nachdem man bei diesen auf „Ja“ und „OK“
geklickt hat erstellt er einen Autostart in der Windows Registrierung, die HookIt.dll im Windows
Verzeichnis und einen globalen Hook.
Dann protokolliert er alle Tastatureingaben mit dem Namen des dazugehörigen Programmfensters
in der Datei „Oh~Men~“, die im gleichen Verzeichnis wie die Trojan-Spy.Win32.Hookit.11.exe erstellt wird.
Seite 10
VERGLEICHSTEST
a-squared Anti-Malware meldet den versuchten Autostarteintrag.
Nach dem Blockieren wird auch
die Erstellung der HookIt.dll
geblockt und der TrojanSpy.Win32.Hookit.11 somit unschädlich gemacht.
Der Trojan-Spy.Win32.Hookit.11 kann nach dem
Blockieren keinen Autostart erstellen, aber die
HookIt.dll wird im Windows Verzeichnis erstellt.
Da aber die Erstellung des globalen Hooks von
Comodo Internet Security verboten wurde, ist
die Datei harmlos.
Anmerkung: Das Comodo Anti-Virus erkennt die
HookIt.dll nicht als Schadprogramm. Bei Virus
Total erkennen sie allerdings 71% als infiziert,
was also zu Irritationen beim Scan mit vielen
anderen Anti-Viren Programmen führen könnte.
Seite 11
VERGLEICHSTEST
Online Armor
Nach dem Verbieten des Autostart-Schlüssels in der Registrierung wird auch die Erstellung der HookIt.dll im Windows Verzeichnis verboten.
Damit wird der Trojan-Spy.Win32.Hookit.11 vollkommen unschädlich gemacht.
Outpost Firewall Pro blockt zwar den Autostart, wie im Bild links zu sehen, die
HookIt.dll im Windows Verzeichnis und
der globale Hook werden allerdings erstellt.
Der Prozess Trojan-Spy.Win32.Hookit.11.exe ist aktiv und die Tastatureingaben
werden in der Logdatei Datei „Oh~Men~“
aufgezeichnet.
Outpost Firewall Pro hat den Test 4 nicht
bestanden.
Anmerkung:
Der Spyware Scanner der Outpost Firewall Pro erkennt die Datei HookIt.dll im Windows Verzeichnis als „Hookit (Malware)“.
Seite 12
VERGLEICHSTEST
ThreatFire
ThreatFire meldet den
versuchten Autostarteintrag.
Nach dem Beenden und
Sperren wird die TrojanSpy.Win32.Hookit.11.exe
entfernt. HookIt.dll wird
keine im Windows Verzeichnis erstellt.
bestanden.
Testergebnis
Test 4
a-squared
Anti-Malware
TrojanSpy.Win32.
Hookit.11
Test bestanden
Comodo Internet
Online Armor
Security
Test bestanden
Test bestanden
Outpost Firewall
Pro
ThreatFire
Test nicht
bestanden
Test bestanden
Test 5: Trojan-Downloader.Win32.Agent.npp
MD5 Hash: c933e8a739b0e8412b358e7ee7482264
Nach dem Ausführen der Trojan-Downloader.Win32.Agent.npp.exe läuft dieser Prozess versteckt
weiter, er ist also im Task-Manager nicht sichtbar.
Der Trojan-Downloader erstellt die cssrss.exe im System32 Verzeichnis von Windows und einen
dazugehörigen Autostart-Eintrag in der Registrierung.
Weiters installiert er die nso12k.sys, welche als Treiber in das System eingebunden wird. Der Treiber nso12k.sys fungiert als IP Filter Treiber und er hookt Windows Systemprozesse.
Das Ziel ist die Kontrolle über den Internetverkehr zu erlangen und weiteren Schadprogrammen
ihre Aktivitäten zu ermöglichen.
Seite 13
VERGLEICHSTEST
a-squared Anti-Malware warnt
vor dem ungewöhnlichen Verhalten des Trojan-Downloaders.
Nach dem Blockieren wird der
Prozess beendet ohne irgendwelche schädliche Aktionen
ausführen zu können.
Das ist das einzige Meldungsfenster von Comodo Internet Security.
Nach dem Blockieren der Erstellung des Treibers
läuft der Prozess Trojan-Downloader.Win32.Agent.npp.exe sichtbar im Task-Manager, das
Verstecken des Prozesses ist also nicht gelungen.
Dieser Prozess bleibt zwar bis zum Neustart aktiv, ihm wurden aber alle Rechte entzogen und
auch alle übrigen Aktionen von Comodo Internet Security geblockt.
Seite 14
VERGLEICHSTEST
Online Armor
Online Armor blockte die Erstellung des
Autostarts, die Installation des Treibers,
die Erstellung der Dateien cssrss.exe und
nso12k.sys und direkte Prozessmanipulationen der Trojan-Downloader.Win32.Agent.npp.exe.
Der Prozess Trojan-Downloader.Win32.Agent.npp.exe lief zwar weiter, das alleine
verursachte aber keinen Schaden.
Outpost Firewall Pro blockt die Installation
des Treiber und des Autostarts, die cssrss.exe, Downloader-Agent (Malware)* und
die nso12k.sys, Agent (Rootkit)* werden allerdings im System32 Verzeichnis von Windows erstellt und die Trojan-Downloader.Win32.Agent.npp.exe läuft ebenfalls
als sichtbarer Prozess weiter.
Der Prozess ist aber neutralisiert und von
den Dateien geht keine Gefahr mehr aus.
Outpost Firewall Pro hat den Test 5 bestanden.
* Benennung nach dem Spyware Scanner der Outpost Firewall Pro.
Anmerkung:
Der Treiber-Name (Driver) im Bild oben ist falsch, das sollte eigentlich die nso12k.sys sein.
Seite 15
VERGLEICHSTEST
ThreatFire
Nach dem Beenden und
Sperren der Installation
des Treibers blockte
ThreatFire alle weiteren
Aktionen automatisch.
Weder ein Autostart
noch eine Datei wurde
erstellt.
bestanden.
Testergebnis
Test 5
a-squared
Anti-Malware
Comodo
Internet Security
Trojan-Downloader.
Win32.Agent.npp
Test bestanden
Test bestanden
Online Armor
Outpost
Firewall Pro
ThreatFire
Test bestanden Test bestanden Test bestanden
Test 6: Trojan-Proxy.Win32.Xorpix.ar
MD5 Hash: 148ca99b348a4491cd8d9f1ce8ec8ca1
Die Trojan-Proxy.Win32.Xorpix.ar.exe schreibt nach dem Start in den Speicher der Winlogon.exe
und injiziert einen Remote-Thread in diesen Prozess.
Der Trojaner erstellt weiters die winsys2f.dll im Verzeichnis C:\Dokumente und Einstellungen\All
Users\Dokumente\Settings\ und einen Winlogon Autostart für diese winsys2f.dll.
Über die manipulierte Winlogon.exe startet der Trojaner dann den Internet Explorer und verschafft
sich damit Zugriff auf das Internet.
Letztendlich soll der Angreifer den attackierten Computer als Proxy Server missbrauchen können.
Seite 16
VERGLEICHSTEST
Mit dem Blockieren der versuchten Programmmanipulationen werden alle weiteren
schädlichen Aktionen des Trojaners verhindert.
Durch das Blocken der Prozessmanipulation
wurden auch die Erstellung der winsys2f.dll sowie die übrigen schädlichen Aktionen verhindert.
Seite 17
VERGLEICHSTEST
Online Armor
Mit dem Blocken der Speichermanipulation wird das Programm beendet und kann
keine schädlichen Aktionen ausführen.
Auch bei der Outpost Firewall Pro kann der
Trojaner nach dem Blocken der Speichermanipulation keine schädlichen Aktionen
mehr ausführen.
Seite 18
VERGLEICHSTEST
ThreatFire
ThreatFire erkennt die
versuchte Manipulation
des Trojaners ebenfalls
und nach dem Sperren
und Beenden wurden
keine schädlichen Aktionen ausgeführt.
bestanden.
Testergebnis
Test 6
a-squared
Anti-Malware
Comodo
Internet Security
Trojan-Proxy.
Win32.Xorpix.ar
Test bestanden
Test bestanden
Online Armor
Outpost
Firewall Pro
ThreatFire
Test 7: Trojan-Spy.Win32.Iespy.ala
MD5 Hash: 39855af5ad1b8a35d2559bf861f65764
Dieser Trojaner installiert ein Browserhilfsobjekt (BHO) für den Internet Explorer. Die entsprechende Datei mswapi.dll wird im System32 Verzeichnis von Windows erstellt. Weiters erstellt der Trojaner eine Batch-Datei delt.bat im temporären Verzeichnis, welche bei der Ausführung die Ursprungsdatei Trojan-Spy.Win32.Iespy.ala.exe löscht.
Ziel des Trojaners ist es, den Internet Explorer zu überwachen und die gesammelten Informationen
an eine vorgegebene Internetseite zu übertragen.
Seite 19
VERGLEICHSTEST
a-squared Anti-Malware zeigte bei der Ausführung der Trojan-Spy.Win32.Iespy.ala.exe keine Reaktion. Das Browserhilfsobjekt wurde in den Internet Explorer als Add-On geladen.
Nachdem die Erstellung der mswapi.dll mit Comodo Internet Security geblockt wurde, wurden
auch die Registrierungsschlüssel für das Browserhilfsobjekt nicht erstellt.
Online Armor
Mit Online Armor wird die Erstellung der
mswapi.dll verboten (Bild links) und in
einer weiteren Meldung auch die Erstellung der BHO Schlüssel in der Registrierung.
Seite 20
VERGLEICHSTEST
Die Outpost Firewall Pro reagiert auf die Ausführung des Trojaners nicht, das Browserhilfsobjekt ist
im Internet Explorer geladen.
ThreatFire
ThreatFire erkennt die
versuchte
Installation
des Internet Explorer
Add-Ons.
Nach Sperren und Beenden erfolgt weder die Erstellung der mswapi.dll
noch eines Registrierungsschlüssels für das
Browserhilfsobjekt.
bestanden.
Testergebnis
Test 7
a-squared
Anti-Malware
Trojan-Spy.
Win32.Iespy.ala
Test nicht
bestanden
Comodo Internet
Online Armor
Security
Test bestanden
Test bestanden
Outpost Firewall
Pro
ThreatFire
Test nicht
bestanden
Test bestanden
Seite 21
VERGLEICHSTEST
Test 8: Virus.Win32.Virut.n
MD5 Hash: bf06ed566d9bb2d741e0b5a89879d7a5
Zuerst versucht der Virus einen Remote-Thread in der Winlogon.exe zu erzeugen, bei Erfolg werden dann über das Internet weitere Schadprogramme nachgeladen. Da der Test Offline erfolgte,
konnte es dazu natürlich nicht kommen. Der Virus versucht ebenfalls Code in laufende Prozesse zu
injizieren und er hookt die ntdll.dll, um z.B. NtCreateProcess zu überwachen. Bekannt ist Virut aber
vor allem für die massenhafte Infektion u. a. von .EXE Dateien.
a-squared Anti-Malware zeigte keine Reaktion auf die Ausführung. Eine kurze Zeit nach der Ausführung des Virus wurde der Bildschirm schwarz. Der Explorer ließ sich nicht mehr ausführen und
wenn man a2start.exe, den GUI Prozess von a-squared Anti-Malware, über den Task-Manager startete, dann waren alle Schutzmodule als deaktiviert angezeigt. Man konnte auch keine Programme
mehr installieren oder Dateien abspeichern. Es blieb letztlich nur noch der Reset-Knopf.
Comodo Internet Security erkennt die versuchte
Manipulation der winlogon.exe und mit dem
Blockieren wurden dem Virus alle Rechte entzogen.
Weiter schädliche Aktionen konnte er nicht ausführen.
Seite 22
VERGLEICHSTEST
Online Armor
Auch Online Armor erkennt die versuchte
Manipulation und der Virus konnte nach
dem Verbieten keine schädlichen Aktionen
mehr ausführen.
RootKit Unhooker zeigte keine entsprechenden Hooks und das Kaspersky Virus
Removal Tool fand keine Infektionen.
Programmversion: 6.5.5(2535.385.0692)
Nach dem Blocken der Prozessmanipulation konnte der Virus keine schädlichen Aktionen mehr ausführen.
GMER fand keine entsprechenden Hooks
und CureIt keine Infektionen.
Seite 23
VERGLEICHSTEST
ThreatFire
ThreatFire erkennt den Virus am
bekannten Verhalten und entfernt
ihn automatisch.
Mit Avira konnte danach keine Infektionen gefunden werden und der
RootKit Unhooker fand keine entsprechenden Hooks.
ThreatFire hat den Test 8 bestanden.
Testergebnis
Test 8
a-squared
Anti-Malware
Virus.Win32.
Virut.n
Test nicht
bestanden
Comodo Internet
Online Armor
Security
Test bestanden
Test bestanden
Outpost Firewall
Pro
ThreatFire
Test bestanden
Test bestanden
Test 9: Virus.Win32.Gpcode.ak
MD5 Hash: 7cd8e2fc5fe2dc351f24417cc1d23afa
Der Virus.Win32.Gpcode.ak verschlüsselt nach der Ausführung verschiedene Dateitypen, wie
z.B. .doc, .pdf, .txt, .jpg, .xls. Für jede Datei wird eine verschlüsselte Datei mit der Endung ._CRYPT
erstellt und das Original wird gelöscht. In jedem Ordner mit verschlüsselten Dateien erstellt der Erpresservirus eine Datei !_READ_ME_!.txt. In dieser findet sich eine E-Mail Adresse und der Hinweis, dass man einen Decryptor kaufen muss, wenn man seine Dateien wieder entschlüsseln will.
a-squared Anti-Malware reagiert auf die Ausführung nicht, die Dateien werden verschlüsselt.
Seite 24
VERGLEICHSTEST
Beim Start des Virus reagiert die Comodo Internet Security nicht, aber während die Verschlüsselung läuft, erscheint die Meldung im Bild links.
Nach dem Blockieren ging die Verschlüsselung
allerdings weiter.
Comodo Internet Security hat den Test 9 nicht
bestanden.
Online Armor
Nachdem man die Ausführung des Virus mit Online Armor erlaubt, kommt keine weitere Meldung
und die Dateien werden verschlüsselt.
Online Armor hat den Test 9 nicht bestanden.
Anmerkung: Die aktuelle Public Beta Version 3.5.0.20 von Online Armor schützt gegen diese
Ransomware bzw. Erpresserviren.
Outpost Firewall Pro reagiert auf die Ausführung auch nicht, die Dateien werden verschlüsselt.
ThreatFire
Auch ThreatFire meldet nichts nach der Ausführung und während der Verschlüsselung der Dateien.
ThreatFire hat den Test 9 nicht bestanden.
Seite 25
VERGLEICHSTEST
Testergebnis
Test 9
a-squared
Anti-Malware
Virus.Win32.
Gpcode.ak
Test nicht
bestanden
Comodo Internet
Online Armor
Security
Test nicht
bestanden
Test nicht
bestanden
Outpost Firewall
Pro
ThreatFire
Test nicht
bestanden
Test nicht
bestanden
Test 10: Trojan.Win32.KillDisk.b
MD5 Hash: 36efcf8abfc31280cc7a8038f1e1967e
Der Trojan.Win32.KillDisk.b greift direkt auf den Datenträger zu und überschreibt den Bootsektor
der Festplatte. Der Computer wird unmittelbar nach der Ausführung des Trojaners heruntergefahren. Beim folgenden Neustart bleibt der Computer nach den BIOS Meldungen hängen, Windows
startet nicht.
a-squared Anti-Malware erkennt den direkten Zugriffsversuch auf den Datenträger.
Nach dem Blockieren ist die
Gefahr gebannt.
Anmerkung:
Die Erkennung dieser direkten
Sektorenzugriffe setzt die Version 4.5.0.13 voraus. Die anfangs hier getestete Version
4.5.0.1 schützt dagegen nicht.
Seite 26
VERGLEICHSTEST
Der Computer wird unmittelbar nach der Ausführung des Trojan.Win32.KillDisk.b heruntergefahren. Comodo Internet Security schützt nicht, primär weil die entsprechende Option in den Standardeinstellungen deaktiviert ist.
Comodo Internet Security hat den Test 10 nicht bestanden.
Online Armor
Online Armor warnt vor dem direkten Datenträgerzugriff.
Nach dem Verbieten ist der Trojaner keine
Bedrohung mehr.
Mit der Outpost Firewall Pro wird der Computer auch sofort nach der Ausführung des Trojan.Win32.KillDisk.b heruntergefahren. Gleich wie bei der Comodo Internet Security ist die Überwachung des direkten Datenträgerzugriffs in den Grundeinstellungen deaktiviert.
Seite 27
VERGLEICHSTEST
ThreatFire
Auch ThreatFire erkennt
den direkten Zugriffsversuch auf den Datenträger.
Nach dem Sperren und
Beenden ist die Bedrohung beseitigt.
ThreatFire hat den Test
10 bestanden.
Testergebnis
Test 10
a-squared
Anti-Malware
Trojan.Win32.
KillDisk.b
Test bestanden
Comodo Internet
Online Armor
Security
Test nicht
bestanden
Test bestanden
Outpost Firewall
Pro
ThreatFire
Test nicht
bestanden
Test bestanden
ENDERGEBNIS
Kein Programm konnte mit den Standardeinstellungen und mit den gegebenen Standardantworten
gegen alle 10 Schadprogramme dieses Tests schützen.
Online Armor und ThreatFire schützten gegen 8 von 10.
a-squared Anti-Malware und Comodo Internet Security schützten gegen 6 von 10.
Outpost Firewall Pro schützte lediglich gegen 3 von 10.
Seite 28
VERGLEICHSTEST
ERGEBNISTABELLE
Testergebnis
a-squared
Anti-Malware
Comodo
Internet Security
Online Armor
Outpost
Firewall Pro
ThreatFire
Test 1: Trojan.
Win32.Qhost.kkf
Test bestanden
Test bestanden
Test nicht
bestanden
Test nicht
bestanden
Test bestanden
Test 2: Trojan.
Win32.KillAV.yp
Test nicht
bestanden
Test nicht
bestanden
Test bestanden
Test nicht
bestanden
Test nicht
bestanden
Test 3: Trojan-Spy.
Win32.KeyLogger.ng
Test bestanden
Test nicht
bestanden
Test bestanden
Test nicht
bestanden
Test bestanden
Test 4: Trojan-Spy.
Win32.Hookit.11
Test bestanden
Test bestanden
Test bestanden
Test nicht
bestanden
Test bestanden
Test 5: Trojan-Downloader.
Test bestanden
Win32.Agent.npp
Test bestanden
Test 6: Trojan-Proxy.
Win32.Xorpix.ar
Test bestanden
Test bestanden
Test 7: Trojan-Spy.
Win32.Iespy.ala
Test nicht
bestanden
Test bestanden
Test bestanden
Test 8: Virus.
Win32.Virut.n
Test nicht
bestanden
Test bestanden
Test 9: Virus.
Win32.Gpcode.ak
Test nicht
bestanden
Test nicht
bestanden
Test nicht
bestanden
Test nicht
bestanden
Test nicht
bestanden
Test 10: Trojan.
Win32.KillDisk.b
Test bestanden
Test nicht
bestanden
Test bestanden
Test nicht
bestanden
Test bestanden
Test nicht
bestanden
Test bestanden
Exkurs
Dieser Teil spielt für die Bewertung der Programme beim Vergleichstest keine Rolle. Er dient lediglich zur Betrachtung von zwei Aspekten der getesteten Programme – die Vorgaben für die Meldungsfenster und das Programmverhalten auf das Verbieten von Aktionen durch den Benutzer.
Meldungsfenster
Bei Comodo Internet Security, Online Armor und ThreatFire muss der Benutzer bei den Meldungsfenstern entscheiden, ob er eine Aktion erlaubt oder verbietet. Diese Programme melden also ein
bedenkliches Ereignis, liefern Informationen zum Grund der Meldung, aber die Entscheidung über
das Erlauben oder Verbieten bleibt dem Benutzer überlassen.
Seite 29
VERGLEICHSTEST
Bei a-squared Anti-Malware ist das Blockieren bei den Meldungsfenstern voreingestellt. Wer also
immer auf OK klickt, blockiert alles was gemeldet wird. Das kann bei Fehlentscheidungen zwar
momentan unangenehme Folgen haben, aber da eine Programmregel im Nachhinein immer noch
geändert oder gelöscht werden kann, ist das wahrscheinlich selten wirklich tragisch.
Bei der Outpost Firewall Pro ist fahrlässigerweise das Erlauben der Aktion im Meldungsfenster voreingestellt. Verbotsregeln können bei allen Programmen rückgängig gemacht werden, nur bei einem unbedachten Klick auf OK kann bei der Outpost Firewall Pro Schaden entstehen, der nicht
mehr einfach rückgängig gemacht werden kann. Unbedarfte Benutzer könnten möglicherweise
auch der irrigen Meinung sein, dass die Outpost Firewall Pro eine richtige Antwort auf eine Meldung voreinstellen würde, dem ist aber nicht so. Auch die fragwürdigsten und gefährlichsten Aktionen werden nach dieser Voreinstellung erlaubt, wenn der Benutzer vertrauensselig auf OK klickt.
Programmverhalten
Hier geht es darum, was eigentlich bei den getesteten Programmen passiert, wenn man bei einem
Meldungsfenster die Wahl trifft eine Aktion zu verbieten.
Dargestellt wird das Verhalten anhand des Test 5: Trojan-Downloader.Win32.Agent.npp, da diesen
Test alle Programme bestanden haben.
Nach der Wahl der Voreinstellung (Blockieren) beim Meldungsfenster ist in der Konfiguration der Anwendungsregeln
der Start der Anwendung dauerhaft blockiert.
Mit der alternativen Möglichkeit „Verhalten blockieren“ wäre
nur die unsichtbare Programminstallation verboten worden
und die Anwendung wäre weiter überwacht worden.
den betreffenden Prozess automatisch beendet, wie es für
einen Verhaltensblocker auch
üblich ist.
Seite 30
VERGLEICHSTEST
Abgefragt wurde beim Test 5
von Comodo Internet Security
die Erstellung der Datei
nso12k.sys – sonst nichts.
Nach der Wahl von „Blockieren“ wurden dem Prozess jedoch alle Rechte entzogen,
wie im Bild links zu sehen ist.
Die Frage des Meldungsfensters stimmt also mit der folgenden Reaktion des Programms nicht überein.
Bei einem Gegentest, bei dem
nach dem Meldungsfenster
nur die Erstellung der Datei
nso12k.sys zugelassen wurde,
zeigte sich das gleiche Verhalten – alles wurde erlaubt, wie
im Bild links zu sehen ist.
Also auch die Installation des
Treibers, die Erstellung der
cssrss.exe und des AutostartEintrages und der Hooks.
Es bleibt offen, ob dieses
Verhalten ein Programmfehler ist oder ein verantwortungsloser Trick, um die Anzahl der Meldungsfenster zu
verringern.
So wie es ist, wird der Benutzer aber jedenfalls durch die
Angaben des Meldungsfensters falsch informiert.
Der Prozess selbst wird von Comodo Internet Security nicht beendet, er läuft im Task-Manager
sichtbar weiter.
Seite 31
VERGLEICHSTEST
Online Armor
Vom HIPS von Online Armor werden dem Programm
die Rechte entzogen, die über die Meldungsfenster
verboten wurden.
Auch bei Online Armor läuft der betreffende Prozess im Task-Manager sichtbar weiter.
Das HIPS der Outpost Firewall
Pro verhält sich genau gleich
wie das von Online Armor.
Die blockierten Aktionen der
Meldungsfenster werden entsprechend in der Anti-LeakKontrolle angezeigt. Die übrigen
Einstellungen bleiben unverändert.
Auch bei der Outpost Firewall
Pro wird der betreffende Prozess nicht beendet und läuft im
Task-Manager sichtbar weiter.
Seite 32
VERGLEICHSTEST
ThreatFire
ThreatFire entfernt nach
dem Beenden und Sperren
alle für das Programm greifbaren Reste der Anwendung automatisch.
Dazu gehört auch das automatische Beenden des
betreffenden Prozesses.
© subset
Seite 33

Verhaltensbasierende Erkennung

Transcription

Similar documents

News 2005 Perfekt Kontr.

Symantec Endpoint Protection

Systemanforderungen und Installationsanleitung ADVOKAT Stand