Beruflich Dokumente
Kultur Dokumente
VERHALTENSBASIERENDE ERKENNUNG
VON SCHADPROGRAMMEN
VERGLEICHSTEST
Die verhaltensbasierende Erkennung der unten angeführten Programme wird mit zehn verschiede-
nen Schadprogrammen auf ihre Wirksamkeit überprüft.
GETESTETE PROGRAMME
a-squared Anti-Malware
Comodo Internet Security
Online Armor
Outpost Firewall Pro
ThreatFire
TESTMETHODE
Alle Programme werden mit den Standardeinstellungen getestet, so wie sie fraglos von der großen
Mehrzahl der Benutzer auch verwendet werden und das erleichtert natürlich auch die Vergleich-
barkeit, da so einfach zu erkennen ist, welcher Schutz durch diese HIPS, IDS oder Verhaltensblocker
Module der Programme „Out of the box“, also eben mit den Standardeinstellungen geboten wird.
Als Betriebssystem kam Windows XP Pro SP3 inklusive aktueller Updates zum Einsatz. Alle Tests
wurden unter einem Administratorkonto ausgeführt.
Für die Tests wurden mit FirstDefense-ISR fünf identische Snapshots erstellt und in jeden Snapshot
ein zu testendes Programm installiert. Diese fünf Snapshots wurden auf einer externen Festplatte
archiviert und nach jedem Test wiederhergestellt. Zusätzlich wurde bei Bedarf Shadow Defender
zur Virtualisierung des Systems verwendet.
Da mit Schadprogrammen getestet wurde, welche die Anti-Virus bzw. Anti-Spyware Module einige
der getesteten Programme zum Teil erkennen, wurden folgende Einstellungen für eine verhaltens-
basierende Erkennung vorgenommen:
✗ a-squared Anti-Malware – Der Anti-Virus OnExecution Scan wurde deaktiviert.
✗ Comodo Internet Security – Die Anti-Virus Echtzeit-Prüfung wurde auf Aus gestellt.
✗ Online Armor – Es wurden keine Veränderungen vorgenommen.
✗ Outpost Firewall Pro – Der Anti-Spyware Echtzeit-Schutz wurde deaktiviert.
✗ ThreatFire – Es wurden keine Veränderungen vorgenommen.
Seite 1
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Alle Schadprogramme wurden aus Sicherheitsgründen Offline ausgeführt, also ohne eine aktive
Verbindung zum Internet. Die diversen Community-Features der Programme spielten deswegen
bei der Ausführung keine Rolle.
Jedes Programm wurde vor der Ausführung eines Schadprogramms über das Internet aktualisiert
bzw. es wurde die aktuellste Version installiert.
Die Versionsnummern der getesteten Programme sind bei den einzelnen Tests angegeben.
Die Auswahl der Schadprogramme für den Test erfolgte natürlich nicht mit den getesteten Pro-
grammen, sondern mit Anubis, Viruslist, ThreatExpert, mit dem Real-Time Defender, SanityCheck,
GMER, dem Process Explorer, RunScanner und diversen anderen Webseiten und Tools.
BEWERTUNG
Test bestanden – das getestete Programm hat alle schädlichen Aktionen und alle unerwünschten
Systemveränderungen verhindern können.
Test nicht bestanden – das getestete Programm hat nicht alle schädlichen Aktionen und alle uner-
wünschten Systemveränderungen verhindern können.
Mit schädliche Aktionen sind die primären Aktionen der Schadprogramme gemeint, wie z.B. das
erfolgreiche Installieren eines globalen Hooks.
Mit unerwünschte Systemveränderungen sind sekundäre Aktionen der Schadprogramme gemeint,
wie z.B. das Deaktivieren des Task-Managers.
Die Ausführung der Schadprogramme wurde selbstverständlich für den Test immer zugelassen.
Geantwortet wurde bei den Meldungsfenstern immer mit Standardantworten, die erweiterten
bzw. verborgenen Menüs einiger Programme wurden beim Test ignoriert.
Beispielhaft wird für jedes Programm ein Meldungsfenster gezeigt, falls ein solches erscheint. Die-
ses ist aber nicht zwangsläufig für die Bewertung relevant, sondern es hat auch einen informativen
Charakter, um die Verständlichkeit der Meldungsfenster der getesteten Programme darzustellen.
Test 1: Trojan.Win32.Qhost.kkf
MD5 Hash: dfa8bd5282276be8d74f95d9ead9ea8f
Der Trojaner erzeugt einen Autostart, verändert die Hosts Datei, debuggt auf Systemlevel, deakti-
viert u.a. den Task-Manager, schreibt in den virtuellen Speicher des Explorers und greift über die
systempre.exe auf das Netzwerk zu, um Angreifern den Remote-Zugriff zu ermöglichen.
Seite 2
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
a-squared Anti-Malware
Programmversion: 4.5.0.1
Seite 3
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Online Armor
Programmversion: 3.5.0.14
Anmerkung: Warum die GUI Texte nicht vollkommen sichtbar waren, ist nicht nachvollziehbar.
Es wurde die Standardeinstellung von 96 DPI und das Windows Zune Theme verwendet.
Seite 4
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
ThreatFire
Programmversion: 4.5.0.14
Anmerkung:
Bei dem roten Warnfenster handelt
es sich nicht um Signaturerkennung,
sondern die Verhaltensanalyse der
Datei stimmt mit der einer bekann-
ten Bedrohung überein.
Testergebnis
Test 2: Trojan.Win32.KillAV.yp
MD5 Hash: eb8f9302faa3800f69d603a49ccf5ead
Der Trojaner erzeugt Batch-Dateien, die ausführt und später wieder gelöscht werden.
Die Hosts Datei wird gelöscht und durch eine manipulierte Datei ersetzt. Der Browser und der Ge-
neric Host Process werden über die batchfile.bat manipuliert und der Browser mit einer veränder-
ten Seite gestartet. Durch die veränderte Hosts Datei wird auf bestimmte Seiten umgelenkt.
a-squared Anti-Malware
Programmversion: 4.5.0.1
a-squared Anti-Malware zeigte bei der Ausführung des Trojan.Win32.KillAV.yp keine Reaktion.
Die Hosts Datei wurde verändert und der Browser mit der manipulierten Seite gestartet.
Das Malware-IDS Protokoll war leer.
Seite 5
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Online Armor
Programmversion: 3.5.0.14
Die Outpost Firewall Pro zeigte auch keine Reaktion auf das Ausführen des Trojan.Win32.KillAV.yp.
Die Hosts Datei wurde verändert und der Browser mit der manipulierten Seite gestartet.
Im Event Viewer waren keine relevanten Einträge.
Seite 6
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
ThreatFire
Programmversion: 4.5.0.14
Testergebnis
Test 3: Trojan-Spy.Win32.KeyLogger.ng
MD5 Hash: 9db796ec20fd0c30f2b59c2bb7d65de7
Der Trojan-Spy.Win32.KeyLogger.ng zeichnet Eingaben auf und versendet diese über eine integrier-
te SMTP Client Engine.
Dazu erstellt er drei DLLs im Windows Verzeichnis, die LINKINFO.dll, die olinkinfo.dll und die
SFDLL.DLL und lässt diese automatisch mit dem Explorer starten.
Zur sofortigen Integration der DLLs beendet der Trojaner den Explorer Prozess und startet ihn neu.
Seite 7
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
a-squared Anti-Malware
Programmversion: 4.5.0.1
Der Trojan-Spy.Win32.KeyLog-
ger.ng wurde also praktisch
vollkommen unschädlich ge-
macht.
Anmerkung:
Das Comodo Anti-Virus erkannte die in den Ex-
plorer Prozess geladene Datei LINKINFO.DLL als
TrojWare.Win32.Spy.KeyLogger.qc@6628116.
Seite 8
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Online Armor
Programmversion: 3.5.0.14
Auf die Ausführung des Trojan-Spy.Win32.KeyLogger.ng erfolgte keinerlei Reaktion der Outpost
Firewall Pro. Der Explorer wurde sofort beendet und neu gestartet und alle drei DLLs waren danach
in den Explorer Prozess geladen.
Seite 9
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
ThreatFire
Programmversion: 4.5.0.14
Testergebnis
Test 4: Trojan-Spy.Win32.Hookit.11
MD5 Hash: acc1d8be8fe39e00c492efec18151229
Der Trojan-Spy.Win32.Hookit.11 öffnet zwei Fenster, nachdem man bei diesen auf „Ja“ und „OK“
geklickt hat erstellt er einen Autostart in der Windows Registrierung, die HookIt.dll im Windows
Verzeichnis und einen globalen Hook.
Dann protokolliert er alle Tastatureingaben mit dem Namen des dazugehörigen Programmfensters
in der Datei „Oh~Men~“, die im gleichen Verzeichnis wie die Trojan-Spy.Win32.Hookit.11.exe er-
stellt wird.
Seite 10
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
a-squared Anti-Malware
Programmversion: 4.5.0.1
Seite 11
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Online Armor
Programmversion: 3.5.0.14
Anmerkung:
Der Spyware Scanner der Outpost Firewall Pro erkennt die Datei HookIt.dll im Windows Verzeich-
nis als „Hookit (Malware)“.
Seite 12
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
ThreatFire
Programmversion: 4.5.0.17
Testergebnis
Test 5: Trojan-Downloader.Win32.Agent.npp
MD5 Hash: c933e8a739b0e8412b358e7ee7482264
Das Ziel ist die Kontrolle über den Internetverkehr zu erlangen und weiteren Schadprogrammen
ihre Aktivitäten zu ermöglichen.
Seite 13
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
a-squared Anti-Malware
Programmversion: 4.5.0.1
Seite 14
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Online Armor
Programmversion: 3.5.0.14
Seite 15
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
ThreatFire
Programmversion: 4.5.0.17
Testergebnis
Test 6: Trojan-Proxy.Win32.Xorpix.ar
MD5 Hash: 148ca99b348a4491cd8d9f1ce8ec8ca1
Die Trojan-Proxy.Win32.Xorpix.ar.exe schreibt nach dem Start in den Speicher der Winlogon.exe
und injiziert einen Remote-Thread in diesen Prozess.
Der Trojaner erstellt weiters die winsys2f.dll im Verzeichnis C:\Dokumente und Einstellungen\All
Users\Dokumente\Settings\ und einen Winlogon Autostart für diese winsys2f.dll.
Über die manipulierte Winlogon.exe startet der Trojaner dann den Internet Explorer und verschafft
sich damit Zugriff auf das Internet.
Letztendlich soll der Angreifer den attackierten Computer als Proxy Server missbrauchen können.
Seite 16
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
a-squared Anti-Malware
Programmversion: 4.5.0.1
Seite 17
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Online Armor
Programmversion: 3.5.0.14
Seite 18
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
ThreatFire
Programmversion: 4.5.0.17
Testergebnis
Test 7: Trojan-Spy.Win32.Iespy.ala
MD5 Hash: 39855af5ad1b8a35d2559bf861f65764
Dieser Trojaner installiert ein Browserhilfsobjekt (BHO) für den Internet Explorer. Die entsprechen-
de Datei mswapi.dll wird im System32 Verzeichnis von Windows erstellt. Weiters erstellt der Troja-
ner eine Batch-Datei delt.bat im temporären Verzeichnis, welche bei der Ausführung die Ur-
sprungsdatei Trojan-Spy.Win32.Iespy.ala.exe löscht.
Ziel des Trojaners ist es, den Internet Explorer zu überwachen und die gesammelten Informationen
an eine vorgegebene Internetseite zu übertragen.
a-squared Anti-Malware
Programmversion: 4.5.0.13
Seite 19
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
a-squared Anti-Malware zeigte bei der Ausführung der Trojan-Spy.Win32.Iespy.ala.exe keine Reak-
tion. Das Browserhilfsobjekt wurde in den Internet Explorer als Add-On geladen.
Online Armor
Programmversion: 3.5.0.14
Seite 20
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Die Outpost Firewall Pro reagiert auf die Ausführung des Trojaners nicht, das Browserhilfsobjekt ist
im Internet Explorer geladen.
ThreatFire
Programmversion: 4.5.0.17
Testergebnis
Seite 21
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Test 8: Virus.Win32.Virut.n
MD5 Hash: bf06ed566d9bb2d741e0b5a89879d7a5
Zuerst versucht der Virus einen Remote-Thread in der Winlogon.exe zu erzeugen, bei Erfolg wer-
den dann über das Internet weitere Schadprogramme nachgeladen. Da der Test Offline erfolgte,
konnte es dazu natürlich nicht kommen. Der Virus versucht ebenfalls Code in laufende Prozesse zu
injizieren und er hookt die ntdll.dll, um z.B. NtCreateProcess zu überwachen. Bekannt ist Virut aber
vor allem für die massenhafte Infektion u. a. von .EXE Dateien.
a-squared Anti-Malware
Programmversion: 4.5.0.13
a-squared Anti-Malware zeigte keine Reaktion auf die Ausführung. Eine kurze Zeit nach der Ausfüh-
rung des Virus wurde der Bildschirm schwarz. Der Explorer ließ sich nicht mehr ausführen und
wenn man a2start.exe, den GUI Prozess von a-squared Anti-Malware, über den Task-Manager star-
tete, dann waren alle Schutzmodule als deaktiviert angezeigt. Man konnte auch keine Programme
mehr installieren oder Dateien abspeichern. Es blieb letztlich nur noch der Reset-Knopf.
Seite 22
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Online Armor
Programmversion: 3.5.0.14
Seite 23
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
ThreatFire
Programmversion: 4.5.0.17
Testergebnis
Test 9: Virus.Win32.Gpcode.ak
MD5 Hash: 7cd8e2fc5fe2dc351f24417cc1d23afa
a-squared Anti-Malware
Programmversion: 4.5.0.13
a-squared Anti-Malware reagiert auf die Ausführung nicht, die Dateien werden verschlüsselt.
Seite 24
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Online Armor
Programmversion: 3.5.0.14
Nachdem man die Ausführung des Virus mit Online Armor erlaubt, kommt keine weitere Meldung
und die Dateien werden verschlüsselt.
Anmerkung: Die aktuelle Public Beta Version 3.5.0.20 von Online Armor schützt gegen diese
Ransomware bzw. Erpresserviren.
Outpost Firewall Pro reagiert auf die Ausführung auch nicht, die Dateien werden verschlüsselt.
ThreatFire
Programmversion: 4.5.0.17
Auch ThreatFire meldet nichts nach der Ausführung und während der Verschlüsselung der Dateien.
Seite 25
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Testergebnis
Der Trojan.Win32.KillDisk.b greift direkt auf den Datenträger zu und überschreibt den Bootsektor
der Festplatte. Der Computer wird unmittelbar nach der Ausführung des Trojaners heruntergefah-
ren. Beim folgenden Neustart bleibt der Computer nach den BIOS Meldungen hängen, Windows
startet nicht.
a-squared Anti-Malware
Programmversion: 4.5.0.13
a-squared Anti-Malware er-
kennt den direkten Zugriffsver-
such auf den Datenträger.
Nach dem Blockieren ist die
Gefahr gebannt.
Anmerkung:
Die Erkennung dieser direkten
Sektorenzugriffe setzt die Ver-
sion 4.5.0.13 voraus. Die an-
fangs hier getestete Version
4.5.0.1 schützt dagegen nicht.
Seite 26
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Der Computer wird unmittelbar nach der Ausführung des Trojan.Win32.KillDisk.b heruntergefah-
ren. Comodo Internet Security schützt nicht, primär weil die entsprechende Option in den Stan-
dardeinstellungen deaktiviert ist.
Online Armor
Programmversion: 3.5.0.14
Mit der Outpost Firewall Pro wird der Computer auch sofort nach der Ausführung des Tro-
jan.Win32.KillDisk.b heruntergefahren. Gleich wie bei der Comodo Internet Security ist die Über-
wachung des direkten Datenträgerzugriffs in den Grundeinstellungen deaktiviert.
Seite 27
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
ThreatFire
Programmversion: 4.5.0.17
Testergebnis
ENDERGEBNIS
Kein Programm konnte mit den Standardeinstellungen und mit den gegebenen Standardantworten
gegen alle 10 Schadprogramme dieses Tests schützen.
a-squared Anti-Malware und Comodo Internet Security schützten gegen 6 von 10.
Seite 28
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
ERGEBNISTABELLE
Exkurs
Dieser Teil spielt für die Bewertung der Programme beim Vergleichstest keine Rolle. Er dient ledig-
lich zur Betrachtung von zwei Aspekten der getesteten Programme – die Vorgaben für die Mel-
dungsfenster und das Programmverhalten auf das Verbieten von Aktionen durch den Benutzer.
Meldungsfenster
Bei Comodo Internet Security, Online Armor und ThreatFire muss der Benutzer bei den Meldungs-
fenstern entscheiden, ob er eine Aktion erlaubt oder verbietet. Diese Programme melden also ein
bedenkliches Ereignis, liefern Informationen zum Grund der Meldung, aber die Entscheidung über
das Erlauben oder Verbieten bleibt dem Benutzer überlassen.
Seite 29
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Bei a-squared Anti-Malware ist das Blockieren bei den Meldungsfenstern voreingestellt. Wer also
immer auf OK klickt, blockiert alles was gemeldet wird. Das kann bei Fehlentscheidungen zwar
momentan unangenehme Folgen haben, aber da eine Programmregel im Nachhinein immer noch
geändert oder gelöscht werden kann, ist das wahrscheinlich selten wirklich tragisch.
Bei der Outpost Firewall Pro ist fahrlässigerweise das Erlauben der Aktion im Meldungsfenster vor-
eingestellt. Verbotsregeln können bei allen Programmen rückgängig gemacht werden, nur bei ei-
nem unbedachten Klick auf OK kann bei der Outpost Firewall Pro Schaden entstehen, der nicht
mehr einfach rückgängig gemacht werden kann. Unbedarfte Benutzer könnten möglicherweise
auch der irrigen Meinung sein, dass die Outpost Firewall Pro eine richtige Antwort auf eine Mel-
dung voreinstellen würde, dem ist aber nicht so. Auch die fragwürdigsten und gefährlichsten Aktio-
nen werden nach dieser Voreinstellung erlaubt, wenn der Benutzer vertrauensselig auf OK klickt.
Programmverhalten
Hier geht es darum, was eigentlich bei den getesteten Programmen passiert, wenn man bei einem
Meldungsfenster die Wahl trifft eine Aktion zu verbieten.
Dargestellt wird das Verhalten anhand des Test 5: Trojan-Downloader.Win32.Agent.npp, da diesen
Test alle Programme bestanden haben.
a-squared Anti-Malware
Seite 30
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Comodo Internet Security
Der Prozess selbst wird von Comodo Internet Security nicht beendet, er läuft im Task-Manager
sichtbar weiter.
Seite 31
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
Online Armor
Seite 32
VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
ThreatFire
© subset
Seite 33