Hips Ids BB Test

VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST
VERHALTENSBASIERENDE ERKENNUNG
VON SCHADPROGRAMMEN
VERGLEICHSTEST
Die verhaltensbasierende Erkennung der unten angeführten Programme wird mit zehn verschiede-
nen Schadprogrammen auf ihre Wirksamkeit überprüft.
GETESTETE PROGRAMME
a-squared Anti-Malware
Comodo Internet Security
Online Armor
Outpost Firewall Pro
ThreatFire
TESTMETHODE
Alle Programme werden mit den Standardeinstellungen getestet, so wie sie fraglos von der großen
Mehrzahl der Benutzer auch verwendet werden und das erleichtert natürlich auch die Vergleich-
barkeit, da so einfach zu erkennen ist, welcher Schutz durch diese HIPS, IDS oder Verhaltensblocker
Module der Programme „Out of the box“, also eben mit den Standardeinstellungen geboten wird.
Als Betriebssystem kam Windows XP Pro SP3 inklusive aktueller Updates zum Einsatz. Alle Tests
wurden unter einem Administratorkonto ausgeführt.
Für die Tests wurden mit FirstDefense-ISR fünf identische Snapshots erstellt und in jeden Snapshot
ein zu testendes Programm installiert. Diese fünf Snapshots wurden auf einer externen Festplatte
archiviert und nach jedem Test wiederhergestellt. Zusätzlich wurde bei Bedarf Shadow Defender
zur Virtualisierung des Systems verwendet.
Da mit Schadprogrammen getestet wurde, welche die Anti-Virus bzw. Anti-Spyware Module einige
der getesteten Programme zum Teil erkennen, wurden folgende Einstellungen für eine verhaltens-
basierende Erkennung vorgenommen:
✗ a-squared Anti-Malware – Der Anti-Virus OnExecution Scan wurde deaktiviert.
✗ Comodo Internet Security – Die Anti-Virus Echtzeit-Prüfung wurde auf Aus gestellt.
✗ Online Armor – Es wurden keine Veränderungen vorgenommen.
✗ Outpost Firewall Pro – Der Anti-Spyware Echtzeit-Schutz wurde deaktiviert.
✗ ThreatFire – Es wurden keine Veränderungen vorgenommen.
Seite 1
Alle Schadprogramme wurden aus Sicherheitsgründen Offline ausgeführt, also ohne eine aktive
Verbindung zum Internet. Die diversen Community-Features der Programme spielten deswegen
bei der Ausführung keine Rolle.
Jedes Programm wurde vor der Ausführung eines Schadprogramms über das Internet aktualisiert
bzw. es wurde die aktuellste Version installiert.
Die Versionsnummern der getesteten Programme sind bei den einzelnen Tests angegeben.
Die Benennung der Schadprogramme erfolgt nach Kaspersky.

Mit dem für jedes Schadprogramm angegebenen MD5 Hash ist die exakte Datei des Tests definiert
und es kann z.B. bei VirusTotal das verwendete Schadprogramm überprüft werden.
Die relevanten Aktionen der Schadprogramme werden beim jeweiligen Test erläutert.
Die Auswahl der Schadprogramme für den Test erfolgte natürlich nicht mit den getesteten Pro-
grammen, sondern mit Anubis, Viruslist, ThreatExpert, mit dem Real-Time Defender, SanityCheck,
GMER, dem Process Explorer, RunScanner und diversen anderen Webseiten und Tools.
BEWERTUNG
Test bestanden – das getestete Programm hat alle schädlichen Aktionen und alle unerwünschten
Systemveränderungen verhindern können.
Test nicht bestanden – das getestete Programm hat nicht alle schädlichen Aktionen und alle uner-
wünschten Systemveränderungen verhindern können.
Mit schädliche Aktionen sind die primären Aktionen der Schadprogramme gemeint, wie z.B. das
erfolgreiche Installieren eines globalen Hooks.
Mit unerwünschte Systemveränderungen sind sekundäre Aktionen der Schadprogramme gemeint,
wie z.B. das Deaktivieren des Task-Managers.
Die Ausführung der Schadprogramme wurde selbstverständlich für den Test immer zugelassen.
Geantwortet wurde bei den Meldungsfenstern immer mit Standardantworten, die erweiterten
bzw. verborgenen Menüs einiger Programme wurden beim Test ignoriert.
Beispielhaft wird für jedes Programm ein Meldungsfenster gezeigt, falls ein solches erscheint. Die-
ses ist aber nicht zwangsläufig für die Bewertung relevant, sondern es hat auch einen informativen
Charakter, um die Verständlichkeit der Meldungsfenster der getesteten Programme darzustellen.
Test 1: Trojan.Win32.Qhost.kkf
MD5 Hash: dfa8bd5282276be8d74f95d9ead9ea8f
Der Trojaner erzeugt einen Autostart, verändert die Hosts Datei, debuggt auf Systemlevel, deakti-
viert u.a. den Task-Manager, schreibt in den virtuellen Speicher des Explorers und greift über die
systempre.exe auf das Netzwerk zu, um Angreifern den Remote-Zugriff zu ermöglichen.
Seite 2
Programmversion: 4.5.0.1
Das schädliche Verhalten wird

bei der Ausführung erkannt.
Mit Blockieren konnte der Tro-

janer unschädlich gemacht
werden.
a-squared Anti-Malware hat

den Test 1 bestanden.

Comodo Internet Security erkennt die erste Ak-

tion des Trojaners, die Erstellung des Autostart-
Eintrages in der Registrierung.
Mit Blockieren wurde die Aktion verboten und

das Programm beendet, ohne irgendeinen
Schaden verursachen zu können.
Comodo Internet Security hat den Test 1 be-

standen.
Seite 3
Online Armor
Nach der Erlaubnis der Ausführung wur-

den alle weiteren Aktionen verboten.
Die schädlichen Aktionen wurden zwar

alle geblockt, allerdings wurde die Deak-
tivierung des Task-Managers und die Lö-
schung eines Hosts Eintrages (127.0.0.1
localhost) nicht verhindert.
Online Armor hat den Test 1 nicht be-

standen.

Programmversion: 6.5.4 (2525.381.0687)
Es wurde die Erstellung und Ausführung

der systempre.exe nicht verhindert.
Die Datei war als aktiver Prozess im Task-
Manager.
CureIt fand diese systempre.exe in Sys-
tem32 Verzeichnis von Windows.
Auch der angegebene Zielprozess im Bild

links ist falsch, das war in Wirklichkeit die
Explorer.exe.
Outpost Firewall Pro hat den Test 1 nicht

bestanden.
Anmerkung: Warum die GUI Texte nicht vollkommen sichtbar waren, ist nicht nachvollziehbar.
Es wurde die Standardeinstellung von 96 DPI und das Windows Zune Theme verwendet.
Seite 4
ThreatFire
ThreatFire erkennt den Trojaner

und sperrt ihn automatisch.
ThreatFire hat den Test 1 bestan-

den.
Anmerkung:
Bei dem roten Warnfenster handelt
es sich nicht um Signaturerkennung,
sondern die Verhaltensanalyse der
Datei stimmt mit der einer bekann-
ten Bedrohung überein.
Testergebnis
a-squared Comodo Outpost Firewall

Test 1 Online Armor ThreatFire
Anti-Malware Internet Security Pro
Trojan.Win32. Test nicht Test nicht
Test bestanden Test bestanden Test bestanden
Qhost.kkf bestanden bestanden
Test 2: Trojan.Win32.KillAV.yp
MD5 Hash: eb8f9302faa3800f69d603a49ccf5ead
Der Trojaner erzeugt Batch-Dateien, die ausführt und später wieder gelöscht werden.
Die Hosts Datei wird gelöscht und durch eine manipulierte Datei ersetzt. Der Browser und der Ge-
neric Host Process werden über die batchfile.bat manipuliert und der Browser mit einer veränder-
ten Seite gestartet. Durch die veränderte Hosts Datei wird auf bestimmte Seiten umgelenkt.
a-squared Anti-Malware zeigte bei der Ausführung des Trojan.Win32.KillAV.yp keine Reaktion.
Die Hosts Datei wurde verändert und der Browser mit der manipulierten Seite gestartet.
Das Malware-IDS Protokoll war leer.
a-squared Anti-Malware hat den Test 2 nicht bestanden.
Seite 5

Auch Comodo Internet Security zeigte keine Reaktion.

Die Hosts Datei wurde ebenfalls verändert und der Browser mit der manipulierten Seite gestartet.
Unter Defense+ Ereignisse waren keine Einträge vorhanden.
Comodo Internet Security hat den Test 2 nicht bestanden.
Online Armor
Online Armor warnt mehrfach vor den Ak-

tionen des Trojan.Win32.KillAV.yp, unter
anderem vor der Erstellung und Ausfüh-
rung der Batch-Dateien, vor der Verände-
rung der Hosts Datei und auch vor dem
Start des Browsers über die Batch-Datei,
wie im Bild links zu sehen ist.
Alle diese Aktionen wurden von Online

Armor geblockt.
Online Armor hat den Test 2 bestanden.

Die Outpost Firewall Pro zeigte auch keine Reaktion auf das Ausführen des Trojan.Win32.KillAV.yp.
Die Hosts Datei wurde verändert und der Browser mit der manipulierten Seite gestartet.
Im Event Viewer waren keine relevanten Einträge.
Outpost Firewall Pro hat den Test 2 nicht bestanden.
Seite 6
ThreatFire
ThreatFire meldet zwar

das verdächtige Verhalten
und verschiebt bei „be-
enden und sperren“ alles
in die Quarantäne, nur
war zu diesem Zeitpunkt
die originale Hosts Datei
vom Trojaner schon ge-
löscht worden. Die ver-
änderte Hosts Datei
konnte er allerdings nicht
mehr erstellen, das hat
ThreatFire verhindert.
ThreatFire hat den Test 2

nicht bestanden.
Testergebnis

Trojan.Win32. Test nicht Test nicht Test nicht Test nicht
Test bestanden
KillAV.yp bestanden bestanden bestanden bestanden
Test 3: Trojan-Spy.Win32.KeyLogger.ng
MD5 Hash: 9db796ec20fd0c30f2b59c2bb7d65de7
Der Trojan-Spy.Win32.KeyLogger.ng zeichnet Eingaben auf und versendet diese über eine integrier-
te SMTP Client Engine.
Dazu erstellt er drei DLLs im Windows Verzeichnis, die LINKINFO.dll, die olinkinfo.dll und die
SFDLL.DLL und lässt diese automatisch mit dem Explorer starten.
Zur sofortigen Integration der DLLs beendet der Trojaner den Explorer Prozess und startet ihn neu.
Seite 7
Nach dem Blockieren der Akti-

on bleibt nur die LINKINFO.DLL
als 0-Byte Datei im Windows
Verzeichnis zurück.
Der Trojan-Spy.Win32.KeyLog-
ger.ng wurde also praktisch
vollkommen unschädlich ge-
macht.


Trotz des Blockierens wurde die LINKINFO.DLL im

Windows Verzeichnis erstellt und in den Explo-
rer geladen.
Ein weiteres Meldungsfenster gab es nicht.
Comodo Internet Security hat den Test 3 nicht

bestanden.
Anmerkung:
Das Comodo Anti-Virus erkannte die in den Ex-
plorer Prozess geladene Datei LINKINFO.DLL als
TrojWare.Win32.Spy.KeyLogger.qc@6628116.
Seite 8
Online Armor
Die Erstellung der DLLs und das Beenden

und Neustarten des Explorers konnte mit
Online Armor beblockt werden.

Auf die Ausführung des Trojan-Spy.Win32.KeyLogger.ng erfolgte keinerlei Reaktion der Outpost
Firewall Pro. Der Explorer wurde sofort beendet und neu gestartet und alle drei DLLs waren danach
in den Explorer Prozess geladen.
Seite 9
ThreatFire
ThreatFire entfernt zwei

der drei DLLs und verhin-
dert den Neustart des
Explorers. Die dritte DLL,
die olinkinfo.dll, bleibt
nach der Aktion verwaist
im Windows Verzeichnis
zurück. Sie wurde also
nicht in den Explorer ge-
laden. Diese olinkinfo.dll
wird bei VirusTotal von
keinem Anti-Virus als
schädlich erkannt.

bestanden.
Testergebnis

Trojan-Spy.Win32. Test nicht Test nicht
KeyLogger.ng bestanden bestanden
Test 4: Trojan-Spy.Win32.Hookit.11
MD5 Hash: acc1d8be8fe39e00c492efec18151229
Der Trojan-Spy.Win32.Hookit.11 öffnet zwei Fenster, nachdem man bei diesen auf „Ja“ und „OK“
geklickt hat erstellt er einen Autostart in der Windows Registrierung, die HookIt.dll im Windows
Verzeichnis und einen globalen Hook.
Dann protokolliert er alle Tastatureingaben mit dem Namen des dazugehörigen Programmfensters
in der Datei „Oh~Men~“, die im gleichen Verzeichnis wie die Trojan-Spy.Win32.Hookit.11.exe er-
stellt wird.
Seite 10
a-squared Anti-Malware mel-

det den versuchten Autostar-
teintrag.
Nach dem Blockieren wird auch

die Erstellung der HookIt.dll
geblockt und der Trojan-
Spy.Win32.Hookit.11 somit un-
schädlich gemacht.


Der Trojan-Spy.Win32.Hookit.11 kann nach dem

Blockieren keinen Autostart erstellen, aber die
HookIt.dll wird im Windows Verzeichnis erstellt.
Da aber die Erstellung des globalen Hooks von
Comodo Internet Security verboten wurde, ist
die Datei harmlos.

standen.
Anmerkung: Das Comodo Anti-Virus erkennt die

HookIt.dll nicht als Schadprogramm. Bei Virus
Total erkennen sie allerdings 71% als infiziert,
was also zu Irritationen beim Scan mit vielen
anderen Anti-Viren Programmen führen könnte.
Seite 11
Online Armor
Nach dem Verbieten des Autostart-Schlüs-

sels in der Registrierung wird auch die Er-
stellung der HookIt.dll im Windows Ver-
zeichnis verboten.
Damit wird der Trojan-Spy.Win32.Hook-

it.11 vollkommen unschädlich gemacht.

Outpost Firewall Pro blockt zwar den Au-

tostart, wie im Bild links zu sehen, die
HookIt.dll im Windows Verzeichnis und
der globale Hook werden allerdings er-
stellt.
Der Prozess Trojan-Spy.Win32.Hookit.-

11.exe ist aktiv und die Tastatureingaben
werden in der Logdatei Datei „Oh~Men~“
aufgezeichnet.
Outpost Firewall Pro hat den Test 4 nicht

bestanden.
Anmerkung:
Der Spyware Scanner der Outpost Firewall Pro erkennt die Datei HookIt.dll im Windows Verzeich-
nis als „Hookit (Malware)“.
Seite 12
ThreatFire
ThreatFire meldet den

versuchten Autostartein-
trag.
Nach dem Beenden und

Sperren wird die Trojan-
Spy.Win32.Hookit.11.exe
entfernt. HookIt.dll wird
keine im Windows Ver-
zeichnis erstellt.

bestanden.
Testergebnis
a-squared Comodo Internet Outpost Firewall

Anti-Malware Security Pro
TrojanSpy.Win32. Test nicht
Test bestanden Test bestanden Test bestanden Test bestanden
Hookit.11 bestanden
Test 5: Trojan-Downloader.Win32.Agent.npp
MD5 Hash: c933e8a739b0e8412b358e7ee7482264
Nach dem Ausführen der Trojan-Downloader.Win32.Agent.npp.exe läuft dieser Prozess versteckt

weiter, er ist also im Task-Manager nicht sichtbar.
Der Trojan-Downloader erstellt die cssrss.exe im System32 Verzeichnis von Windows und einen
dazugehörigen Autostart-Eintrag in der Registrierung.
Weiters installiert er die nso12k.sys, welche als Treiber in das System eingebunden wird. Der Trei-
ber nso12k.sys fungiert als IP Filter Treiber und er hookt Windows Systemprozesse.
Das Ziel ist die Kontrolle über den Internetverkehr zu erlangen und weiteren Schadprogrammen
ihre Aktivitäten zu ermöglichen.
Seite 13
a-squared Anti-Malware warnt

vor dem ungewöhnlichen Ver-
halten des Trojan-Downloa-
ders.
Nach dem Blockieren wird der

Prozess beendet ohne irgend-
welche schädliche Aktionen
ausführen zu können.


Das ist das einzige Meldungsfenster von Como-

do Internet Security.
Nach dem Blockieren der Erstellung des Treibers
läuft der Prozess Trojan-Downloader.Win32.-
Agent.npp.exe sichtbar im Task-Manager, das
Verstecken des Prozesses ist also nicht gelun-
gen.
Dieser Prozess bleibt zwar bis zum Neustart ak-

tiv, ihm wurden aber alle Rechte entzogen und
auch alle übrigen Aktionen von Comodo Inter-
net Security geblockt.

standen.
Seite 14
Online Armor
Online Armor blockte die Erstellung des

Autostarts, die Installation des Treibers,
die Erstellung der Dateien cssrss.exe und
nso12k.sys und direkte Prozessmanipula-
tionen der Trojan-Downloader.Win32.-
Agent.npp.exe.
Der Prozess Trojan-Downloader.Win32.-

Agent.npp.exe lief zwar weiter, das alleine
verursachte aber keinen Schaden.

Outpost Firewall Pro blockt die Installation

des Treiber und des Autostarts, die cssr-
ss.exe, Downloader-Agent (Malware)* und
die nso12k.sys, Agent (Rootkit)* werden al-
lerdings im System32 Verzeichnis von Win-
dows erstellt und die Trojan-Downloa-
der.Win32.Agent.npp.exe läuft ebenfalls
als sichtbarer Prozess weiter.
Der Prozess ist aber neutralisiert und von
den Dateien geht keine Gefahr mehr aus.
Outpost Firewall Pro hat den Test 5 be-

standen.
* Benennung nach dem Spyware Scanner der Outpost Firewall Pro.

Anmerkung:
Der Treiber-Name (Driver) im Bild oben ist falsch, das sollte eigentlich die nso12k.sys sein.
Seite 15
ThreatFire
Nach dem Beenden und

Sperren der Installation
des Treibers blockte
ThreatFire alle weiteren
Aktionen automatisch.
Weder ein Autostart

noch eine Datei wurde
erstellt.

bestanden.
Testergebnis
a-squared Comodo Outpost

Anti-Malware Internet Security Firewall Pro
Trojan-Downloader.
Test bestanden Test bestanden Test bestanden Test bestanden Test bestanden
Win32.Agent.npp
Test 6: Trojan-Proxy.Win32.Xorpix.ar
MD5 Hash: 148ca99b348a4491cd8d9f1ce8ec8ca1
Die Trojan-Proxy.Win32.Xorpix.ar.exe schreibt nach dem Start in den Speicher der Winlogon.exe
und injiziert einen Remote-Thread in diesen Prozess.
Der Trojaner erstellt weiters die winsys2f.dll im Verzeichnis C:\Dokumente und Einstellungen\All
Users\Dokumente\Settings\ und einen Winlogon Autostart für diese winsys2f.dll.
Über die manipulierte Winlogon.exe startet der Trojaner dann den Internet Explorer und verschafft
sich damit Zugriff auf das Internet.
Letztendlich soll der Angreifer den attackierten Computer als Proxy Server missbrauchen können.
Seite 16
Mit dem Blockieren der ver-

suchten Programmmanipula-
tionen werden alle weiteren
schädlichen Aktionen des Tro-
janers verhindert.


Durch das Blocken der Prozessmanipulation

wurden auch die Erstellung der winsys2f.dll so-
wie die übrigen schädlichen Aktionen verhin-
dert.

standen.
Seite 17
Online Armor
Mit dem Blocken der Speichermanipulati-

on wird das Programm beendet und kann
keine schädlichen Aktionen ausführen.

Auch bei der Outpost Firewall Pro kann der

Trojaner nach dem Blocken der Speicher-
manipulation keine schädlichen Aktionen
mehr ausführen.

standen.
Seite 18
ThreatFire
ThreatFire erkennt die

versuchte Manipulation
des Trojaners ebenfalls
und nach dem Sperren
und Beenden wurden
keine schädlichen Aktio-
nen ausgeführt.

bestanden.
Testergebnis

Trojan-Proxy.
Win32.Xorpix.ar
Test 7: Trojan-Spy.Win32.Iespy.ala
MD5 Hash: 39855af5ad1b8a35d2559bf861f65764
Dieser Trojaner installiert ein Browserhilfsobjekt (BHO) für den Internet Explorer. Die entsprechen-
de Datei mswapi.dll wird im System32 Verzeichnis von Windows erstellt. Weiters erstellt der Troja-
ner eine Batch-Datei delt.bat im temporären Verzeichnis, welche bei der Ausführung die Ur-
sprungsdatei Trojan-Spy.Win32.Iespy.ala.exe löscht.
Ziel des Trojaners ist es, den Internet Explorer zu überwachen und die gesammelten Informationen
an eine vorgegebene Internetseite zu übertragen.
Seite 19
a-squared Anti-Malware zeigte bei der Ausführung der Trojan-Spy.Win32.Iespy.ala.exe keine Reak-
tion. Das Browserhilfsobjekt wurde in den Internet Explorer als Add-On geladen.

Nachdem die Erstellung der mswapi.dll mit Co-

modo Internet Security geblockt wurde, wurden
auch die Registrierungsschlüssel für das Brow-
serhilfsobjekt nicht erstellt.

standen.
Online Armor
Mit Online Armor wird die Erstellung der

mswapi.dll verboten (Bild links) und in
einer weiteren Meldung auch die Erstel-
lung der BHO Schlüssel in der Registrie-
rung.
Seite 20

Die Outpost Firewall Pro reagiert auf die Ausführung des Trojaners nicht, das Browserhilfsobjekt ist
im Internet Explorer geladen.
ThreatFire
ThreatFire erkennt die

versuchte Installation
des Internet Explorer
Add-Ons.
Nach Sperren und Been-

den erfolgt weder die Er-
stellung der mswapi.dll
noch eines Registrie-
rungsschlüssels für das
Browserhilfsobjekt.

bestanden.
Testergebnis

Trojan-Spy. Test nicht Test nicht
Win32.Iespy.ala bestanden bestanden
Seite 21
Test 8: Virus.Win32.Virut.n
MD5 Hash: bf06ed566d9bb2d741e0b5a89879d7a5
Zuerst versucht der Virus einen Remote-Thread in der Winlogon.exe zu erzeugen, bei Erfolg wer-
den dann über das Internet weitere Schadprogramme nachgeladen. Da der Test Offline erfolgte,
konnte es dazu natürlich nicht kommen. Der Virus versucht ebenfalls Code in laufende Prozesse zu
injizieren und er hookt die ntdll.dll, um z.B. NtCreateProcess zu überwachen. Bekannt ist Virut aber
vor allem für die massenhafte Infektion u. a. von .EXE Dateien.
a-squared Anti-Malware zeigte keine Reaktion auf die Ausführung. Eine kurze Zeit nach der Ausfüh-
rung des Virus wurde der Bildschirm schwarz. Der Explorer ließ sich nicht mehr ausführen und
wenn man a2start.exe, den GUI Prozess von a-squared Anti-Malware, über den Task-Manager star-
tete, dann waren alle Schutzmodule als deaktiviert angezeigt. Man konnte auch keine Programme
mehr installieren oder Dateien abspeichern. Es blieb letztlich nur noch der Reset-Knopf.

Comodo Internet Security erkennt die versuchte

Manipulation der winlogon.exe und mit dem
Blockieren wurden dem Virus alle Rechte entzo-
gen.
Weiter schädliche Aktionen konnte er nicht aus-

führen.

standen.
Seite 22
Online Armor
Auch Online Armor erkennt die versuchte

Manipulation und der Virus konnte nach
dem Verbieten keine schädlichen Aktionen
mehr ausführen.
RootKit Unhooker zeigte keine entspre-

chenden Hooks und das Kaspersky Virus
Removal Tool fand keine Infektionen.

Programmversion: 6.5.5(2535.385.0692)
Nach dem Blocken der Prozessmanipulati-

on konnte der Virus keine schädlichen Ak-
tionen mehr ausführen.
GMER fand keine entsprechenden Hooks

und CureIt keine Infektionen.

standen.
Seite 23
ThreatFire
ThreatFire erkennt den Virus am

bekannten Verhalten und entfernt
ihn automatisch.
Mit Avira konnte danach keine In-

fektionen gefunden werden und der
RootKit Unhooker fand keine ent-
sprechenden Hooks.
ThreatFire hat den Test 8 bestan-

den.
Testergebnis

Virus.Win32. Test nicht
Virut.n bestanden
Test 9: Virus.Win32.Gpcode.ak
MD5 Hash: 7cd8e2fc5fe2dc351f24417cc1d23afa
Der Virus.Win32.Gpcode.ak verschlüsselt nach der Ausführung verschiedene Dateitypen, wie

z.B. .doc, .pdf, .txt, .jpg, .xls. Für jede Datei wird eine verschlüsselte Datei mit der Endung ._CRYPT
erstellt und das Original wird gelöscht. In jedem Ordner mit verschlüsselten Dateien erstellt der Er-
presservirus eine Datei !_READ_ME_!.txt. In dieser findet sich eine E-Mail Adresse und der Hin-
weis, dass man einen Decryptor kaufen muss, wenn man seine Dateien wieder entschlüsseln will.
a-squared Anti-Malware reagiert auf die Ausführung nicht, die Dateien werden verschlüsselt.
Seite 24

Beim Start des Virus reagiert die Comodo Inter-

net Security nicht, aber während die Verschlüs-
selung läuft, erscheint die Meldung im Bild links.
Nach dem Blockieren ging die Verschlüsselung

allerdings weiter.
Comodo Internet Security hat den Test 9 nicht

bestanden.
Online Armor
Nachdem man die Ausführung des Virus mit Online Armor erlaubt, kommt keine weitere Meldung
und die Dateien werden verschlüsselt.
Online Armor hat den Test 9 nicht bestanden.
Anmerkung: Die aktuelle Public Beta Version 3.5.0.20 von Online Armor schützt gegen diese
Ransomware bzw. Erpresserviren.

Outpost Firewall Pro reagiert auf die Ausführung auch nicht, die Dateien werden verschlüsselt.
ThreatFire
Auch ThreatFire meldet nichts nach der Ausführung und während der Verschlüsselung der Dateien.
ThreatFire hat den Test 9 nicht bestanden.
Seite 25
Testergebnis

Virus.Win32. Test nicht Test nicht Test nicht Test nicht Test nicht
Gpcode.ak bestanden bestanden bestanden bestanden bestanden
Test 10: Trojan.Win32.KillDisk.b

MD5 Hash: 36efcf8abfc31280cc7a8038f1e1967e
Der Trojan.Win32.KillDisk.b greift direkt auf den Datenträger zu und überschreibt den Bootsektor
der Festplatte. Der Computer wird unmittelbar nach der Ausführung des Trojaners heruntergefah-
ren. Beim folgenden Neustart bleibt der Computer nach den BIOS Meldungen hängen, Windows
startet nicht.
a-squared Anti-Malware er-
kennt den direkten Zugriffsver-
such auf den Datenträger.
Nach dem Blockieren ist die
Gefahr gebannt.

Anmerkung:
Die Erkennung dieser direkten
Sektorenzugriffe setzt die Ver-
sion 4.5.0.13 voraus. Die an-
fangs hier getestete Version
4.5.0.1 schützt dagegen nicht.
Seite 26

Der Computer wird unmittelbar nach der Ausführung des Trojan.Win32.KillDisk.b heruntergefah-
ren. Comodo Internet Security schützt nicht, primär weil die entsprechende Option in den Stan-
dardeinstellungen deaktiviert ist.
Comodo Internet Security hat den Test 10 nicht bestanden.
Online Armor
Online Armor warnt vor dem direkten Da-

tenträgerzugriff.
Nach dem Verbieten ist der Trojaner keine

Bedrohung mehr.

Mit der Outpost Firewall Pro wird der Computer auch sofort nach der Ausführung des Tro-
jan.Win32.KillDisk.b heruntergefahren. Gleich wie bei der Comodo Internet Security ist die Über-
wachung des direkten Datenträgerzugriffs in den Grundeinstellungen deaktiviert.
Seite 27
ThreatFire
Auch ThreatFire erkennt

den direkten Zugriffsver-
such auf den Datenträger.
Nach dem Sperren und

Beenden ist die Bedro-
hung beseitigt.
ThreatFire hat den Test

10 bestanden.
Testergebnis

Trojan.Win32. Test nicht Test nicht
KillDisk.b bestanden bestanden
ENDERGEBNIS
Kein Programm konnte mit den Standardeinstellungen und mit den gegebenen Standardantworten
gegen alle 10 Schadprogramme dieses Tests schützen.
Online Armor und ThreatFire schützten gegen 8 von 10.
a-squared Anti-Malware und Comodo Internet Security schützten gegen 6 von 10.
Outpost Firewall Pro schützte lediglich gegen 3 von 10.
Seite 28
ERGEBNISTABELLE

Testergebnis Online Armor ThreatFire
Test 1: Trojan. Test nicht Test nicht
Win32.Qhost.kkf bestanden bestanden
Test 2: Trojan. Test nicht Test nicht Test nicht Test nicht
Test bestanden
Win32.KillAV.yp bestanden bestanden bestanden bestanden
Test 3: Trojan-Spy. Test nicht Test nicht
Win32.KeyLogger.ng bestanden bestanden
Test 4: Trojan-Spy. Test nicht
Win32.Hookit.11 bestanden
Test 5: Trojan-Downloader.
Win32.Agent.npp
Test 6: Trojan-Proxy.
Win32.Xorpix.ar
Test 7: Trojan-Spy. Test nicht Test nicht
Win32.Iespy.ala bestanden bestanden
Test 8: Virus. Test nicht
Win32.Virut.n bestanden
Test 9: Virus. Test nicht Test nicht Test nicht Test nicht Test nicht
Win32.Gpcode.ak bestanden bestanden bestanden bestanden bestanden
Test 10: Trojan. Test nicht Test nicht
Win32.KillDisk.b bestanden bestanden
Exkurs
Dieser Teil spielt für die Bewertung der Programme beim Vergleichstest keine Rolle. Er dient ledig-
lich zur Betrachtung von zwei Aspekten der getesteten Programme – die Vorgaben für die Mel-
dungsfenster und das Programmverhalten auf das Verbieten von Aktionen durch den Benutzer.
Meldungsfenster
Bei Comodo Internet Security, Online Armor und ThreatFire muss der Benutzer bei den Meldungs-
fenstern entscheiden, ob er eine Aktion erlaubt oder verbietet. Diese Programme melden also ein
bedenkliches Ereignis, liefern Informationen zum Grund der Meldung, aber die Entscheidung über
das Erlauben oder Verbieten bleibt dem Benutzer überlassen.
Seite 29
Bei a-squared Anti-Malware ist das Blockieren bei den Meldungsfenstern voreingestellt. Wer also
immer auf OK klickt, blockiert alles was gemeldet wird. Das kann bei Fehlentscheidungen zwar
momentan unangenehme Folgen haben, aber da eine Programmregel im Nachhinein immer noch
geändert oder gelöscht werden kann, ist das wahrscheinlich selten wirklich tragisch.
Bei der Outpost Firewall Pro ist fahrlässigerweise das Erlauben der Aktion im Meldungsfenster vor-
eingestellt. Verbotsregeln können bei allen Programmen rückgängig gemacht werden, nur bei ei-
nem unbedachten Klick auf OK kann bei der Outpost Firewall Pro Schaden entstehen, der nicht
mehr einfach rückgängig gemacht werden kann. Unbedarfte Benutzer könnten möglicherweise
auch der irrigen Meinung sein, dass die Outpost Firewall Pro eine richtige Antwort auf eine Mel-
dung voreinstellen würde, dem ist aber nicht so. Auch die fragwürdigsten und gefährlichsten Aktio-
nen werden nach dieser Voreinstellung erlaubt, wenn der Benutzer vertrauensselig auf OK klickt.
Programmverhalten
Hier geht es darum, was eigentlich bei den getesteten Programmen passiert, wenn man bei einem
Meldungsfenster die Wahl trifft eine Aktion zu verbieten.
Dargestellt wird das Verhalten anhand des Test 5: Trojan-Downloader.Win32.Agent.npp, da diesen
Test alle Programme bestanden haben.
Nach der Wahl der Voreinstel-

lung (Blockieren) beim Mel-
dungsfenster ist in der Konfigu-
ration der Anwendungsregeln
der Start der Anwendung dau-
erhaft blockiert.
Mit der alternativen Möglich-
keit „Verhalten blockieren“ wäre
nur die unsichtbare Program-
minstallation verboten worden
und die Anwendung wäre wei-
ter überwacht worden.

den betreffenden Prozess au-
tomatisch beendet, wie es für
einen Verhaltensblocker auch
üblich ist.
Seite 30
Abgefragt wurde beim Test 5

von Comodo Internet Security
die Erstellung der Datei
nso12k.sys – sonst nichts.
Nach der Wahl von „Blockie-

ren“ wurden dem Prozess je-
doch alle Rechte entzogen,
wie im Bild links zu sehen ist.
Die Frage des Meldungsfens-

ters stimmt also mit der fol-
genden Reaktion des Pro-
gramms nicht überein.
Bei einem Gegentest, bei dem

nach dem Meldungsfenster
nur die Erstellung der Datei
nso12k.sys zugelassen wurde,
zeigte sich das gleiche Verhal-
ten – alles wurde erlaubt, wie
im Bild links zu sehen ist.
Also auch die Installation des

Treibers, die Erstellung der
cssrss.exe und des Autostart-
Eintrages und der Hooks.
Es bleibt offen, ob dieses

Verhalten ein Programmfeh-
ler ist oder ein verantwor-
tungsloser Trick, um die An-
zahl der Meldungsfenster zu
verringern.
So wie es ist, wird der Benut-

zer aber jedenfalls durch die
Angaben des Meldungsfens-
ters falsch informiert.
Der Prozess selbst wird von Comodo Internet Security nicht beendet, er läuft im Task-Manager
sichtbar weiter.
Seite 31
Online Armor
Vom HIPS von Online Armor werden dem Programm

die Rechte entzogen, die über die Meldungsfenster
verboten wurden.
Auch bei Online Armor läuft der betreffende Pro-

zess im Task-Manager sichtbar weiter.
Das HIPS der Outpost Firewall

Pro verhält sich genau gleich
wie das von Online Armor.
Die blockierten Aktionen der

Meldungsfenster werden ent-
sprechend in der Anti-Leak-
Kontrolle angezeigt. Die übrigen
Einstellungen bleiben unverän-
dert.
Auch bei der Outpost Firewall

Pro wird der betreffende Pro-
zess nicht beendet und läuft im
Task-Manager sichtbar weiter.
Seite 32
ThreatFire
ThreatFire entfernt nach

dem Beenden und Sperren
alle für das Programm greif-
baren Reste der Anwen-
dung automatisch.
Dazu gehört auch das au-

tomatische Beenden des
betreffenden Prozesses.
© subset
Seite 33

Hips Ids BB Test

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Hips Ids BB Test

Hochgeladen von

Copyright:

Verfügbare Formate

VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN VERGLEICHSTEST

Die Benennung der Schadprogramme erfolgt nach Kaspersky.

Das schädliche Verhalten wird

Mit Blockieren konnte der Tro-

a-squared Anti-Malware hat

Comodo Internet Security

Comodo Internet Security erkennt die erste Ak-

Mit Blockieren wurde die Aktion verboten und

Comodo Internet Security hat den Test 1 be-

Nach der Erlaubnis der Ausführung wur-

Die schädlichen Aktionen wurden zwar

Online Armor hat den Test 1 nicht be-

Outpost Firewall Pro

Es wurde die Erstellung und Ausführung

Auch der angegebene Zielprozess im Bild

Outpost Firewall Pro hat den Test 1 nicht

ThreatFire erkennt den Trojaner

ThreatFire hat den Test 1 bestan-

a-squared Comodo Outpost Firewall

a-squared Anti-Malware hat den Test 2 nicht bestanden.

Comodo Internet Security

Auch Comodo Internet Security zeigte keine Reaktion.

Comodo Internet Security hat den Test 2 nicht bestanden.

Online Armor warnt mehrfach vor den Ak-

Alle diese Aktionen wurden von Online

Online Armor hat den Test 2 bestanden.

Outpost Firewall Pro

Outpost Firewall Pro hat den Test 2 nicht bestanden.

ThreatFire meldet zwar

ThreatFire hat den Test 2

a-squared Comodo Outpost Firewall

Nach dem Blockieren der Akti-

a-squared Anti-Malware hat

Comodo Internet Security

Trotz des Blockierens wurde die LINKINFO.DLL im

Ein weiteres Meldungsfenster gab es nicht.

Comodo Internet Security hat den Test 3 nicht

Die Erstellung der DLLs und das Beenden

Online Armor hat den Test 3 bestanden.

Outpost Firewall Pro

Outpost Firewall Pro hat den Test 3 nicht bestanden.

ThreatFire entfernt zwei

ThreatFire hat den Test 3

a-squared Comodo Outpost Firewall

a-squared Anti-Malware mel-

Nach dem Blockieren wird auch

a-squared Anti-Malware hat

Comodo Internet Security

Der Trojan-Spy.Win32.Hookit.11 kann nach dem

Comodo Internet Security hat den Test 4 be-

Anmerkung: Das Comodo Anti-Virus erkennt die

Nach dem Verbieten des Autostart-Schlüs-

Damit wird der Trojan-Spy.Win32.Hook-

Online Armor hat den Test 4 bestanden.

Outpost Firewall Pro

Outpost Firewall Pro blockt zwar den Au-

Der Prozess Trojan-Spy.Win32.Hookit.-

Outpost Firewall Pro hat den Test 4 nicht

ThreatFire meldet den

Nach dem Beenden und

ThreatFire hat den Test 4

a-squared Comodo Internet Outpost Firewall

Nach dem Ausführen der Trojan-Downloader.Win32.Agent.npp.exe läuft dieser Prozess versteckt