Überraschende Scanergebnisse bei freilaufenden Viren [Update]

Das Honeypot-Projekt Nepenthes hat mehrere Virenscanner auf das von den Schädlingsfallen eingesammelte Ungeziefer-Repertoire losgelassen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 262 Beiträge
Von
  • Dirk Martin Knop

Die von den Schädlingsfallen des Honeypot-Projektes Nepenthes eingesammelten Viren, Würmer, Trojaner, Backdoors und Bots ließen die Entwickler von 14 Virenscannern untersuchen. Das Ergebnis der Auswertung, wie effizient die digitalen Kammerjäger bei der Erkennung und Entwanzung waren, überrascht.

Bei der offiziellen In-The-Wild-Liste (ITW) der aktuellen Viren gibt sich für gewöhnlich kein Virenscanner die Blöße und entdeckt jeden Schädling. Lediglich ClamAV und Panda patzten in der Vergangenheit in dieser Disziplin. Fast ausschließlich Mitarbeiter der Antivirenhersteller verständigen sich darauf, welche Viren als ITW einzustufen sind. Diese Liste wird meist erst mehr als vier Wochen später veröffentlicht. So ist kürzlich, immerhin schon fast Mitte Mai, die ITW-Liste für den März erschienen. Auch der Polip.A-Virus gelangte erst kürzlich auf die Liste; erst nach und nach kristallisierte sich heraus, dass der polimorphe Virus gewisse Verbreitung erlangt hat.

Die Ungezieferfallen der Honeypot-Projekte sammeln die bei real ausgeführten Angriffen auf verwundbare, simulierte Netzwerkdienste übertragene Schadprogramme und Exploits ein. Im Gegensatz zur ITW-Liste haben sie so auch Trojaner, Trojan-Downloader, Backdoors und Spyware in der Sammlung, allerdings fehlen Exploits und Schädlinge, die über E-Mail oder Webseiten verbreitet werden. Daher bilden auch die Sammlungen von Honeypots nicht das vollständige Schädlingsspektrum ab.

In den vergangenen c't-Virenscanner- und Internet-Security-Suiten-Tests (siehe auch c't 26/2005 sowie 2/2006) zeigte sich, dass die Scanner ihre liebe Not mit Spyware und Adware haben. Dies spiegelt sich in den Nepenthes-Ergebnissen wider. Das Nepenthes-Projekt setzte die Virenscanner für die Linux-Kommandozeile der Hersteller ein. Dabei aktualisierten sie die Signaturen und kamen auf folgendes Ranking:

Virenscanner Erkennungsrate
Antivir99,04
Bitdefender96,23
VirusBlokAda95,17
F-Prot94,02
Authentium94,02
Norman Virus Control93,78
Fortinet87,29
F-Secure Antivirus85,22
Kaspersky85,10
VirusBuster82,53
Trend Micro76,19
ClamAV71,41
NOD3270,06
Sophos Sweep68,58
eTrust63,97

Update: Nach Angaben des Nepenthes-Projekts beruht die Tabelle allerdings auf Daten, die bereits ein halbes Jahr alt sind.