16 Virenwächter gegen 248 Trojaner

Angebliche Mahnungen, Strafbescheide, Rechnungen – Trojaner in E-Mails sind einer der hauptsächlichen Infektionswege für Windows-PCs. Wir haben einen Test konzipiert, der unter realistischen Bedingungen prüft, wie gut Antiviren-Software wirklich dagegen schützt. Dabei stellt sich heraus, dass die Zeit ein ganz entscheidender Faktor ist.

Computer-Schädlinge fängt man sich im Wesentlichen auf zwei Wegen ein: Entweder ohne nennenswertes eigenes Zutun über eine Sicherheitslücke in einem der installierten Programme oder der Anwender wird durch geschicktes Drumherum dazu gebracht, den Unrat selbst auf seinem Rechner auszuführen.

Die Erfahrung im Rahmen der Redaktions-Hotline und im persönlichen Umfeld deutet darauf hin, dass gerade Letzteres einen beträchtlichen, wenn nicht sogar den größeren Teil der realen Infektionen verursacht. Bei vielen der befallenen Windows-Systeme ließ sich die Infektion auf einen voreiligen Klick zurückführen. Und die zugehörigen Mails sind mittlerweile so gut gemacht, dass selbst erfahrene Anwender darauf hereinfallen. Es sind sogar schon Fälle aufgetreten, in denen die Empfänger mit ihrem korrekten Namen angesprochen wurden. Die Absender benutzen offenbar Datenbanken mit E-Mail-Adressen und Namen, die vermutlich zuvor in einem Forum oder Online-Shop gestohlen wurden.

Kein Wunder, dass F-Secure das Programm noch nicht kannte – wir hatten es selbst geschrieben und es war garantiert harmlos. Doch genau dafür hat man eigentlich Antiviren-Software auf seinem Windows PC installiert. In gängigen Tests glänzen diese Wächter durch hervorragende Erkennungsraten von weit über 90 Prozent und sollten somit gut gerüstet sein, einen gelegentlichen, voreiligen Klick rechtzeitig abzufangen und die Trojaner-Gefahr abzuwenden. Doch unsere Erfahrung im Alltag spiegelte das nicht wieder. Im Gegenteil: Immer wenn wir einen solchen Trojaner direkt nach dem Empfang etwa bei Virustotal hochluden, um die Erkennung durch die dort gehosteten Virenscanner zu checken, zeigte sich ein ähnliches Bild: bestenfalls vereinzelte Warnungen; die Mehrzahl der Virenscanner hat nichts an der Datei auszusetzen.

Das ist nicht wirklich verwunderlich, ist doch der grund-sätzliche Ansatz der Antiviren-Programme immer noch der, bekannt bösartige Muster wiederzuerkennen. Gegen neuartige Bedrohungen haben sie nicht viel vorzuweisen. Und durch die bereits existierenden Bot-Netze verbreitet sich eine neue Trojaner-Welle rasant. Nimmt man an, dass ein versklavter PC eine Viren-Mail pro Sekunde verschickt, drückt schon ein kleineres Bot-Netz mit 50 000 Zombies in nur einer Stunde rund 200 Millionen Trojaner in unsere Postfächer. Diese Stunde ist kaum genug Zeit, AV-Programme mit aktualisierten Kennungen zu versorgen.

Einige der Trojaner wurden wie hier von Kaspersky mit Hilfe der Verhaltenserkennung gestoppt. Trotzdem argumentiert die Branche geschlossen, dass Virustotal-Tests nicht viel aussagen. Denn ein installierter Viren-Wächter habe viel mehr Möglichkeiten, einen Schädling als solchen zu erkennen, als ein reiner Kommandozeilen-Scanner, wie er bei Virustotal zum Einsatz kommt. Da ist zum Einen die Cloud-Erkennung, die in Echtzeit beim Server des Herstellers nachfragt, was denn von dieser Datei zu halten sei. Ihr zur Seite springt die viel gepriesene Verhaltenserkennung, die zur Laufzeit anhand der Aktivitäten eines Programmes bösartige Aktionen erkennen und rechtzeitig stoppen beziehungsweise rückgängig machen könne.

Langer Rede kurzer Sinn: Wir wollten das genauer wissen und haben in Zusammenarbeit mit dem österreichischen Test-Labor AV-Comparatives (www.av-comparatives.org) einen Test realisiert, der genau das Trojaner-Szenario nachstellt. Im Einverständnis mit dem Betriebsrat des Heise-Zeitschriften-Verlags filterten wir alle eingehenden Mails auf Anhänge mit ZIP-Archiven. Enthielten sie eine EXE-Datei, wurde diese automatisiert an AV-Comparatives übermittelt. Das Ganze reicherten wir noch durch ZIP-Anhänge aus diversen Spam-Traps an, die uns das Projekt NixSpam der iX weiterleitete.

Darüber hinaus konsultierten wir einige einschlägige Usenet-Newsgruppen, in denen vorgebliche Filme gerne als RAR-Archive gepostet werden. Auch hier fanden sich nach dem Download statt der versprochenen Video-Datei ausführbare Programme, die wir jeweils unverzüglich zum Trojaner-Test an AV-Comparatives übermittelten.

Im Testlabor von AV-Comparatives wurden die Trojaner auf echten PCs parallel gestartet. In deren Testlabor findet sich eine ganze Batterie von speziell präparierten, ferngesteuerten Rechnern, auf denen aktuelle Antiviren-Software verschiedener Hersteller installiert ist. Das System war bewusst nicht auf optimalen Schutz ausgerichtet; schließlich wollten wir die Schutzfunktion der AV-Software testen und nicht die Findigkeit der Virenbastler beim Umgehen aktueller Schutzkonzepte von Betriebssystem und Anwendungen. Als Software-Basis kam deshalb Windows XP SP3 zum Einsatz und der angemeldete Benutzer arbeitete als Administrator.

Jeder dieser Rechner erhielt eine Kopie des vermutlichen Trojaners und diese wurde auf dem System tatsächlich ausgeführt. Das System protokollierte dabei eine eventuelle Reaktion des Virenwächters. Mögliche Ergebnisse waren: Infektion verhindert (0), Nachfrage beim Anwender (0,5), keine Reaktion (1). Anschließend wurde das Windows-System auf eine eventuelle Infektion untersucht.

Der Aufwand, den ein solcher Test erfordert, ist beträchtlich. Dass für jeden Testkandidaten dazu ein eigener PC erforderlich ist, ist noch das Geringste. Das muss im Übrigen echte Hardware sein; virtuelle Maschinen erkennen viele Schädlinge und werden dort erst gar nicht aktiv. Darüber hinaus müssen alle Vorgänge vollständig automatisiert werden – auch die Erfassung der Reaktionen des Virenwächters, die abschließende Analyse des Systems und dessen Zurücksetzen in einen definierten Zustand. Denn die Tests müssen rund um die Uhr, gleichzeitig und vor allem möglichst bald nach dem Eingang der Trojaner-Mail erfolgen.

Bei den verwendeten Test-Trojanern handelte es sich somit nicht um irgendwelche Samples, die vielleicht gar nicht in freier Wildbahn auftauchen, sondern um echte Trojaner, die in dieser Form direkt in unseren Mailboxen landeten. Durch das Test-Setup war gewährleistet, dass die Schädlinge spätestens 15 Minuten nach ihrem Eintreffen auf Systemen mit aktueller AV-Software ausgeführt wurden. Diese hatte alle Möglichkeiten eine Infektion zu verhindern – einschließlich einer Internet-Verbindung, um sich Rat beim Mutterschiff zu holen.... (ju)

Den vollständigen Artikel finden Sie in c't 5/2013.