Der Trojaner-Test

16 Virenwächter gegen 248 Trojaner

Test & Kaufberatung | Test

Angebliche Mahnungen, Strafbescheide, Rechnungen – Trojaner in E-Mails sind einer der hauptsächlichen Infektionswege für Windows-PCs. Wir haben einen Test konzipiert, der unter realistischen Bedingungen prüft, wie gut Antiviren-Software wirklich dagegen schützt. Dabei stellt sich heraus, dass die Zeit ein ganz entscheidender Faktor ist.

Computer-Schädlinge fängt man sich im Wesentlichen auf zwei Wegen ein: Entweder ohne nennenswertes eigenes Zutun über eine Sicherheitslücke in einem der installierten Programme oder der Anwender wird durch geschicktes Drumherum dazu gebracht, den Unrat selbst auf seinem Rechner auszuführen.

Die Erfahrung im Rahmen der Redaktions-Hotline und im persönlichen Umfeld deutet darauf hin, dass gerade Letzteres einen beträchtlichen, wenn nicht sogar den größeren Teil der realen Infektionen verursacht. Bei vielen der befallenen Windows-Systeme ließ sich die Infektion auf einen voreiligen Klick zurückführen. Und die zugehörigen Mails sind mittlerweile so gut gemacht, dass selbst erfahrene Anwender darauf hereinfallen. Es sind sogar schon Fälle aufgetreten, in denen die Empfänger mit ihrem korrekten Namen angesprochen wurden. Die Absender benutzen offenbar Datenbanken mit E-Mail-Adressen und Namen, die vermutlich zuvor in einem Forum oder Online-Shop gestohlen wurden.

Doch genau dafür hat man eigentlich Antiviren-Software auf seinem Windows PC installiert. In gängigen Tests glänzen diese Wächter durch hervorragende Erkennungsraten von weit über 90 Prozent und sollten somit gut gerüstet sein, einen gelegentlichen, voreiligen Klick rechtzeitig abzufangen und die Trojaner-Gefahr abzuwenden. Doch unsere Erfahrung im Alltag spiegelte das nicht wieder. Im Gegenteil: Immer wenn wir einen solchen Trojaner direkt nach dem Empfang etwa bei Virustotal hochluden, um die Erkennung durch die dort gehosteten Virenscanner zu checken, zeigte sich ein ähnliches Bild: bestenfalls vereinzelte Warnungen; die Mehrzahl der Virenscanner hat nichts an der Datei auszusetzen.

Das ist nicht wirklich verwunderlich, ist doch der grundsätzliche Ansatz der Antiviren-Programme immer noch der, bekannt bösartige Muster wiederzuerkennen. Gegen neuartige Bedrohungen haben sie nicht viel vorzuweisen. Und durch die bereits existierenden Bot-Netze verbreitet sich eine neue Trojaner-Welle rasant. Nimmt man an, dass ein versklavter PC eine Viren-Mail pro Sekunde verschickt, drückt schon ein kleineres Bot-Netz mit 50 000 Zombies in nur einer Stunde rund 200 Millionen Trojaner in unsere Postfächer. Diese Stunde ist kaum genug Zeit, AV-Programme mit aktualisierten Kennungen zu versorgen.

Trotzdem argumentiert die Branche geschlossen, dass Virustotal-Tests nicht viel aussagen. Denn ein installierter Viren-Wächter habe viel mehr Möglichkeiten, einen Schädling als solchen zu erkennen, als ein reiner Kommandozeilen-Scanner, wie er bei Virustotal zum Einsatz kommt. Da ist zum Einen die Cloud-Erkennung, die in Echtzeit beim Server des Herstellers nachfragt, was denn von dieser Datei zu halten sei. Ihr zur Seite springt die viel gepriesene Verhaltenserkennung, die zur Laufzeit anhand der Aktivitäten eines Programmes bösartige Aktionen erkennen und rechtzeitig stoppen beziehungsweise rückgängig machen könne.

Langer Rede kurzer Sinn: Wir wollten das genauer wissen und haben in Zusammenarbeit mit dem österreichischen Test-Labor AV-Comparatives (www.av-comparatives.org) einen Test realisiert, der genau das Trojaner-Szenario nachstellt. Im Einverständnis mit dem Betriebsrat des Heise-Zeitschriften-Verlags filterten wir alle eingehenden Mails auf Anhänge mit ZIP-Archiven. Enthielten sie eine EXE-Datei, wurde diese automatisiert an AV-Comparatives übermittelt. Das Ganze reicherten wir noch durch ZIP-Anhänge aus diversen Spam-Traps an, die uns das Projekt NixSpam der iX weiterleitete.

Darüber hinaus konsultierten wir einige einschlägige Usenet-Newsgruppen, in denen vorgebliche Filme gerne als RAR-Archive gepostet werden. Auch hier fanden sich nach dem Download statt der versprochenen Video-Datei ausführbare Programme, die wir jeweils unverzüglich zum Trojaner-Test an AV-Comparatives übermittelten.

In deren Testlabor findet sich eine ganze Batterie von speziell präparierten, ferngesteuerten Rechnern, auf denen aktuelle Antiviren-Software verschiedener Hersteller installiert ist. Das System war bewusst nicht auf optimalen Schutz ausgerichtet; schließlich wollten wir die Schutzfunktion der AV-Software testen und nicht die Findigkeit der Virenbastler beim Umgehen aktueller Schutzkonzepte von Betriebssystem und Anwendungen. Als Software-Basis kam deshalb Windows XP SP3 zum Einsatz und der angemeldete Benutzer arbeitete als Administrator.

Jeder dieser Rechner erhielt eine Kopie des vermutlichen Trojaners und diese wurde auf dem System tatsächlich ausgeführt. Das System protokollierte dabei eine eventuelle Reaktion des Virenwächters. Mögliche Ergebnisse waren: Infektion verhindert (0), Nachfrage beim Anwender (0,5), keine Reaktion (1). Anschließend wurde das Windows-System auf eine eventuelle Infektion untersucht.

Der Aufwand, den ein solcher Test erfordert, ist beträchtlich. Dass für jeden Testkandidaten dazu ein eigener PC erforderlich ist, ist noch das Geringste. Das muss im Übrigen echte Hardware sein; virtuelle Maschinen erkennen viele Schädlinge und werden dort erst gar nicht aktiv. Darüber hinaus müssen alle Vorgänge vollständig automatisiert werden – auch die Erfassung der Reaktionen des Virenwächters, die abschließende Analyse des Systems und dessen Zurücksetzen in einen definierten Zustand. Denn die Tests müssen rund um die Uhr, gleichzeitig und vor allem möglichst bald nach dem Eingang der Trojaner-Mail erfolgen.

Bei den verwendeten Test-Trojanern handelte es sich somit nicht um irgendwelche Samples, die vielleicht gar nicht in freier Wildbahn auftauchen, sondern um echte Trojaner, die in dieser Form direkt in unseren Mailboxen landeten. Durch das Test-Setup war gewährleistet, dass die Schädlinge spätestens 15 Minuten nach ihrem Eintreffen auf Systemen mit aktueller AV-Software ausgeführt wurden. Diese hatte alle Möglichkeiten eine Infektion zu verhindern – einschließlich einer Internet-Verbindung, um sich Rat beim Mutterschiff zu holen.

Testkandidaten

Bei diesem Test wollten wir uns ein möglichst breites Bild der aktuellen Situation machen und bauten so ziemlich alles ein, was Rang und Namen hat: Avast, Avira, Bitdefender, Eset, F-Secure, G Data, Kaspersky, McAfee, Microsoft, Panda, Symantec und Trend Micro. Bei Eset kam allerdings noch nicht die kurz nach dem Beenden des Tests veröffentlichte Version 6 zum Einsatz, sondern der Vorgänger.

Das Testobjekt war in der Regel das Produkt mit der laut Hersteller maximalen Schutzwirkung – also die jeweilige Internet Security Suite. Weil uns aber schon lange die Frage umtreibt, ob denn die kostenpflichtigen Internet Security Suiten mit all ihren Zusatzfunktionen besser schützen als die kostenlosen, durfte bei Avast, AVG und Avira auch deren kostenlose Antivirus Software teilnehmen.

Das Testfeld komplettierten die ebenfalls kostenlosen Panda Cloud Antivirus und Microsoft Security Essentials, zu denen es kein direkt vergleichbares, kostenpflichtiges Produkt gibt. Die für Windows XP, Vista und 7 nachinstallierbaren Security Essentials sind im Übrigen quasi identisch mit dem bereits von Haus aus eingebauten Windows Defender von Windows 8. Insgesamt mussten sich 16 Produkte unseren Trojanern stellen.

Apropos Trojaner: Zu Beginn des Tests waren wir nicht ganz sicher, ob unser Auswahlverfahren, ausführbare Dateien in ZIP-Archiven auf die Scanner loszulassen, nicht vielleicht auch die ein oder andere harmlose Datei erfassen würde. Eine nachträgliche Kontrolle der getesteten Samples zeigte jedoch sowohl bei den Mailanhängen als auch bei den vorgeblichen Videos eine hundertprozentige Trefferquote: Zwei Wochen nach dem Test konnte jedes einzelne Sample eindeutig als Malware identifiziert werden.

Überhaupt zeigte der Test, dass die Zeit tatsächlich ein sehr entscheidender Faktor ist. Bevor AV-Comparatives die Infrastruktur für den Test fertiggestellt hatte, sammelten wir nämlich bereits fleißig Trojaner aus unseren Mailboxen ein. Die wurden dann zu Testbeginn in einem Rutsch durchgetestet – also mehrere Tage nach ihrem Eingang. Das Ergebnis war fast schon enttäuschend – zumindest aus Sicht des Testers, der sehr viel Mühe darauf verwendet hatte, ein realistisches Szenario zu entwerfen: Alle Testkandidaten konnten alle Trojaner stoppen; es kam zu keinen Infektionen.

Das Bild änderte sich jedoch schlagartig, als wir zum Echtzeitbetrieb übergingen. Schon als zwei neue Abkömmlinge aus bereits mehrfach aufgetauchten und erfolgreich abgewehrten Schädlingsfamilien eintrafen, gerieten die ersten Kandidaten ins Schleudern (siehe Zeile 3 und 4 in der Tabelle auf S. 81): McAfee, Symantec, Eset und G Data ließen einen der beiden Trojaner im neuen Outfit passieren und AVG fand zwar etwas Verdächtiges, fragte aber den Anwender um Rat.

Das tat es übrigens öfter mal, wenn auch nicht ganz so häufig, wie Avast, das sehr viele Entscheidungen dem Anwender überlassen hat. Der Wächter meldete zwar, dass da etwas im Gange ist, überließ die Entscheidung, was zu tun ist, aber letztlich dem Anwender. Auch G Data griff gelegentlich zu dieser Notlösung.

Insgesamt konnte kein einziger der Virenwächter alle 248 Trojaner aufhalten. Die Überraschung des Tests war Avira, das alle bis auf einen einzigen wegfischte, bevor sie Schaden anrichten konnten. Die Überraschung rührte unter anderem daher, dass Avira bei den letzten Tests mit der eingesetzten Technik ein wenig ins Hintertreffen geraten war und nicht mehr so glänzte wie in früheren Jahren.

Es ist durchaus möglich, dass die Firma aus Tettnang am Bodensee in diesem Test ihren Heimvorteil ausspielen konnte. Schließlich stammten die Trojaner aus deutschen Mailboxen und da ist Avira natürlich „näher dran“ als etwa ein US-Konzern.

Gegen eine regionale Bevorzugung durch das Testverfahren spricht, dass McAfee und Symantec ebenfalls noch exzellente Ergebnisse vorweisen können. Im Mittelfeld angesiedelt sind Eset, Kaspersky und Avast, die sich nur gelegentliche Aussetzer leisteten. Bei Trend Micro verpatzte vor allem die sehr mangelhafte Erkennung der Video-Trojaner ein sonst recht gutes Ergebnis. Trend ließ sich durch den immer wieder in geringfügig modifizierter Form auftretenden (polymorphen) Trojaner sehr oft austricksen.

Zu den Enttäuschungen des Tests gehören durchaus renommierte Hersteller: Bitdefender und F-Secure sind mit diesen Ergebnissen nicht mehr unbedingt zu empfehlen. Dass die zweite deutsche Firma im Test, G Data, von ihrem Heimvorteil nicht profitiert, könnte daran liegen, dass sie anders als Avira keine eigene Engine einsetzt, sondern mit Avast und Bitdefender zwei externe Produkte verwendet. Durch Prüfung und Transfer der extern erstellten Signaturen verstreicht wertvolle Zeit, was wohl bei diesem auf Echtzeit optimierten Test dazu führt, dass G Data ungewohnt schlecht abschneidet.

Als geradezu katastrophal muss man die Schutzwirkung von AVG, Microsofts Security Essentials und Pandas ebenfalls kostenloses Cloud Antivirus einstufen. Ihnen rutschten so viele Trojaner durch, dass man nicht mehr von wirkungsvollem Schutz reden kann.

Kostenlose im Vergleich

Interessant ist das Abschneiden der kostenlosen Antivirus-Produkte – ganz besonders im Vergleich zur hauseigenen Internet-Security-Konkurrenz. Zwar bilden die drei Gratis-Programme von Panda, Microsoft und AVG das Schlusslicht des Tests. Doch dafür glänzt Avira und auch das kostenlose Avast kann durchaus gut mithalten, sodass sich aus den Ergebnissen keine generelle Überlegenheit der kostenpflichtigen Programme herleiten lässt.

Insbesondere konnte in keinem einzigen Fall das kostenpflichtige Internet Security Suite signifikant besser abschneiden als das kostenlose Programm aus gleichem Haus. Bei Avira ist das Ergebnis exakt identisch, bei AVG schützten beide Versionen ähnlich schlecht und bei Avast konnte die kostenlose Version sogar ein paar Trojaner mehr stoppen. Das ist allerdings eher auf eine geringe Zeitdifferenz beim Test und damit andere Ergebnisse der Cloud-Abfragen des Wächters zurückzuführen als auf überlegene Erkennungsfunktionen. Insgesamt liefert dieser Test somit keinen Beleg, dass die jeweils hochpreisigeren Versionen eines Produkts einen besseren Schutz vor Trojanern böten.

Zu guter Letzt haben wir auch noch einen kurzen Gegentest mit zwei selbst erstellten Programmen gemacht, die garantiert harmlos waren. Avast, AVG und F-Secure schöpften trotzdem Verdacht und meldeten dem Anwender eine potenzielle Bedrohung, weil das Programm nicht ausreichend bekannt war. Symantec machte sogar kurzen Prozess und verschob den vermeintlichen Schädling mit einer kurz aufpoppenden Notiz gleich in die Quarantäne. Ähnliches Verhalten haben wir auch bereits früher bei Norton beobachtet.

Fazit

Man sollte sich davor hüten, die Ergebnisse dieses Tests zu verallgemeinern. So sagt dieser Trojaner-Test nichts darüber aus, wie gut ein Wächter vor Exploits schützt, die Schwachstellen und Sicherheitslücken ausnutzen und ebenfalls eine durchaus reale Gefahr darstellen.

Den Schutz vor derartigen Bedrohungen testen unter anderem die beiden Testlabors AV-Comparatives und AV-Test regelmäßig. Dabei schnitten aus dem Spitzenfeld des Trojaner-Tests im „Real World“-Test von AV-Comparatives Kaspersky sehr gut und Avira, Eset und Avast immer noch gut ab. Leider findet sich Symantecs Norton nicht im Testfeld von AV-Comparatives. Das deutsche Testlabor AV-Test attestiert Avast, Kaspersky und Symantec überdurchschnittlich guten Schutz vor Angriffen aus dem Internet und sortiert McAfee, Eset und Avira im Mittelfeld ein.

Außerdem leidet der Trojaner-Test darunter, dass die Zahl der Samples letztlich immer noch zu klein ist, um ein wirklich repräsentatives Abbild der Realität zu geben. So werteten wir zwar hunderttausende Viren-Mails aus, aber viele davon erwiesen sich als Duplikate bereits bekannter Malware. Außerdem verteilten sich die getesteten 248 Trojaner auf recht wenige Schädlingsfamilien, was wohl auch am sehr speziell gewählten Infektionsvektor liegt.

Doch schon jetzt zeigt der Trojaner-Test sehr deutlich, dass die Zeit tatsächlich eine entscheidende Rolle dabei spielt, wie gut der Schutz durch ein Antiviren-Programm wirklich ausfällt. Im Prinzip können alle Hersteller nahezu alle Schädlinge erkennen und blockieren – wenn man ihnen genug Zeit lässt. Das erklärt die Ergebnisse mancher Tests, bei denen fast alle Produkte mit weit über 90-Prozent erstaunlich gut abschneiden. Um diesen Schutz zu genießen, müssten Sie also nur Ihre Mail vor dem Lesen immer erst ein paar Tage liegen lassen.

Doch Scherz beiseite! Was wir hier getestet haben, waren keineswegs hoch spezialisierte Exploits für gezielte Angriffe, sondern Massenware, die mit Standardverfahren ständig modifiziert wird, um AV-Software auszutricksen. Ganz offensichtlich funktionieren die generischen Verfahren zum Erkennen solch modifizierter Schädlinge immer noch nicht zuverlässig genug. Somit kommt es entscheidend darauf an, mit welcher Geschwindigkeit Hersteller auf neue Variationen reagieren. Und einige davon – namentlich Panda, Microsoft und AVG sind da entschieden zu behäbig. Wer sich auf deren Schutzfunktion verlässt, spielt Trojanisches Roulette. (ju)

Legenden und reale Gefahren

Will man einen Gegner überlisten, hilft es Emotionen zu wecken, die ihn dazu verleiten, seine Vorsicht über Bord zu werfen. Die eingesetzten Tricks beherrschten schon die alten Griechen: In der griechischen Mythologie zum Trojanischen Krieg symbolisierte ein von den abziehenden Griechen zurückgelassenes Holzpferd scheinbar das Eingeständnis der Niederlage. Die Trojaner, die nichts mehr ersehnten, feierten das Ende der jahrelangen Belagerung und holten das Pferd in die Stadt. Etwas später – als keiner mehr drauf achtete – schlüpften aus dem Bauch des Trojanischen Pferds griechische Soldaten und öffneten ihrem zurückgekehrten Heer die Stadttore.

Heute kommen Trojanische Pferde in Form von E-Mails, die tolle Gewinne verheißen, durch überhöhte Rechnungen verunsichern oder mit Konsequenzen für angebliche Missetaten drohen. Das Schema ist immer das gleiche: Der Anwender soll dazu verleitet werden, im Überschwang der Gefühle den Anhang der Mail zu öffnen. Das führt dann in der Regel zum Start eines kleinen Programms, das aus dem Internet den eigentlichen Schädling nachlädt und installiert.

Doch direkt ausführbare EXE-Dateien als Dateianhänge zu verschicken, macht nur wenig Sinn. Erstens hat sich herumgesprochen, dass von ausführbaren Dateien, die auf diesem Weg eintreffen, nichts Gutes zu erwarten ist. Deshalb filtern viele Mail-Provider derartige Anhänge standardmäßig aus. Und zweitens lässt sich eine solche EXE-Datei im Anhang nur noch unter größten Mühen starten. Aber der listige Odysseus wartete schließlich auch nicht einfach so vor den Toren auf Einlass.

Analog zum Holzpferd verpacken die Cyber-Griechen ihre Downloader in Archive. So findet sich dann im E-Mail-Anhang ein ZIP-Archiv, das beispielsweise eine Datei namens Mahnung.pdf.exe enthält. Durch den scheinbaren Umweg über das ZIP-Archiv, lässt sich die Datei letztlich sogar leichter starten. Außerdem blendet Windows per Default die bekannte Dateiendung EXE aus und Öffnen bedeutet bei einer EXE-Datei, dass diese ausgeführt wird. Sie kann dann mit den Rechten des Anwenders auf dem Rechner schalten und walten, wie sie will.

Der durch eine Mahnung mit angedrohter Zwangsvollstreckung sowieso schon verunsicherte Anwender sieht also eine Datei Mahnung.pdf mit einem passenden Icon. Wenn er auf diese doppelt klickt, hat er verloren – wenn ihm nicht sein Antiviren-Programm zur Seite springt und den bösartigen Trojaner enttarnt.

Natürlich ist die Bezeichnung Trojaner eigentlich falsch; schließlich waren die Angreifer Griechen und die Einwohner Trojas die Opfer. Aber Trojaner hat sich als kurzer, prägnanter Bezeichner für diese heimtückische Schädlingsgattung etabliert und kommt auch hier in diesem Sinn zum Einsatz.

So schützen Sie sich

Die Basis für ein sicheres System sind Updates. Spielen Sie insbesondere sicherheitsrelevante Updates für die eingesetzte Software schnellstmöglich ein. Besondere Aufmerksamkeit sollte Betriebssystem, Browser, Flash und Adobe Reader gelten. Aber auch Programme zur Anzeige beziehungsweise zum Bearbeiten von Bildern und Videos darf man nicht ignorieren. Java deinstalliert man am besten ganz. Ein Tool wie Secunia PSI hilft Ihnen dabei, auf aktuellem Stand zu bleiben.

Gegen Trojaner hilft gesunder Menschenverstand und ein wenig Misstrauen. Wenn eine Mail versucht, Sie in Euphorie oder Panik zu versetzen, bleiben Sie erstmal ruhig und öffnen Sie weder Links noch Dateianhänge. Fragen Sie vielleicht erstmal einen Kollegen oder eine Kollegin, was das wohl sein mag. Oft finden sich beim genaueren Hinsehen dann doch Merkwürdigkeiten, die den Trick entlarven. Enthält beispielsweise ein scheinbar offizielles Anschreiben einer Firma oder Behörde keine persönliche Anrede, können Sie in aller Regel davon ausgehen, dass da etwas faul ist. Und vielleicht können Sie ja mit dem Öffnen des Anhangs tatsächlich ein, zwei Tage warten.

Sorgen Sie außerdem dafür, dass Windows ihnen die „bekannten Dateiendungen“ nicht mehr vorenthält. Das damit angezeigte „.exe“ hinter „Rechnung.pdf“ könnte genau der Hinweis sein, der Sie im letzten Moment doch noch zögern lässt, einen Trojaner zu öffnen. Sie finden die standardmäßig aktivierte Einstellung „Erweiterungen bei bekannten Dateitypen ausblenden“ bei Windows 8 etwas versteckt im Registerreiter „Ansicht“ des Explorer unter Optionen, Ansicht. Bei Windows 7 kommen Sie über die Menüleiste via Extras, Ordneroptionen, Ansicht dort hin.

Artikel kostenlos herunterladen

Kommentare

Anzeige