59238

Polymorpher Virus fordert die Antivirus-Hersteller heraus

28.04.2006 | 09:18 Uhr |

Vor etlichen Jahren waren Viren, die sich bei jeder neuen Infektion selbst veränderten, Alltagsgeschäft für Virenforscher. Inzwischen bestimmen andere Malware-Arten die Tagesordnung. Mit "W32/Polip" ist in der letzten Woche ein neuer Vertreter der Klasse so genannter polymorpher Viren aufgetaucht. Das Testlabor AV-Test (http://www.av-test.de) hat getestet, wie moderne Antivirus-Produkte damit zurecht kommen.

Der Virus ist zugleich auch ein P2P-Wurm, er breitet sich über die Freigaben Gnutella-kompatibler Filesharing-Software wie Bearshare oder Gnucleus aus. W32/Polip infiziert ausführbare Dateien mit den Endungen ".exe" und ".scr" im Windows- und im Programme-Verzeichnis sowie in deren Unterverzeichnissen. Einige der infizierten Dateien sind dann irreparabel beschädigt. Er versteckt sich Arbeitsspeicher, indem er seinen Programm-Code in andere laufende Prozesse injiziert. Außerdem schaltet er vorhandene Sicherheits-Software aus, etwa Virenscanner oder Desktop Firewalls. Es wurden allerdings bislang nur recht wenige Exemplare in freier Wildbahn gesichtet.

Das Problem bei polymorphen Viren ist, dass sie beim Infizieren einer Datei nicht einfach immer denselben Code anhängen, sondern diesen Code ständig verändern. So verwendet W32/Polip zu diesem Zweck eine relativ komplexe Verschlüsselungsroutine. Nur mit ausgeklügelten statischen Signaturen können Virenscanner da etwas ausrichten. Das Nachbilden der Entschlüsselungsroutine ist mutmaßlich zuverlässiger, führt jedoch zu längeren Scan-Zeiten.

Die Virenforscher benötigten meist mehrere Tage, bis sie ihren Produkten eine halbwegs zuverlässige Erkennung mit diesem Virus infizierter Dateien beigebracht hatten. Der russische Hersteller Dr. Web konnte bereits am 21. April mit einer recht guten Erkennungsleistung aufwarten. Grisoft (AVG) und Trend Micro hingegen stellten erst am 26. beziehungsweise 27. April ein Update bereit, mit dem die meisten der infizierten Dateien erkannt werden. Microsoft-Produkte und die Open-Source-Lösung Clam AV finden nach wie vor keine einzige Polip-Infektion.

Nur wenige Scanner erkannten alle knapp 500 infizierten Dateien des Testfelds. Jeder Wert unter 100 Prozent deutet auf Schwächen bei der Erkennung hin - auch 99,8 Prozent. In der Praxis bedeutet dies, dass infizierte Dateien auf der Festplatte verbleiben können, die eine weitere Ausbreitung und Neuinfektion ermöglichen. Eine zuverlässige Reparatur der Dateien ist kaum möglich. Daher sollten infizierte Systeme besser komplett neu aufgesetzt werden.

Die Ergebnisse im Detail:

Anti-Virus

Malware-Name

Erkennungsrate (in Prozent)

AntiVir

W32/Polipos

100,0%

Avast!

Win32:Polipos

100,0%

AVG

Win32/Polipos

98,4%

BitDefender

Win32.Polip.A

100,0%

ClamAV

-

0,0%

Command

W32/Polipos.A

95,2%

Dr Web

Win32.Polipos

100,0%

eSafe

Win32.Polipos.sus

99,8%

eTrust-INO

Win32/Polipos!Worm

99,0%

eTrust-VET

Win32/Polip.A

96,0%

Ewido

Worm.Polipos.a

0,8%

Fortinet

W32/Polipos.A

49,7%

F-Prot

P2P-Worm.Win32.Polip.a

95,2%

F-Secure

W32/Polipos.V12

100,0%

Ikarus

P2P-Worm.Win32.Polipos.a

98,0%

Kaspersky

P2P-Worm.Win32.Polip.a

100,0%

McAfee

W32/Polip

100,0%

Microsoft

-

0,0%

Nod32

Win32/Polip virus

99,8%

Norman

W32/Polipos.A

99,6%

Panda

W32/Polipos.A

99,4%

QuickHeal

W32.PoliPos

97,8%

Sophos

W32/Polipos-A

99,8%

Symantec/Norton

W32.Polip

100,0%

Trend Micro

PE_POLIP.A

99,8%

VBA32

Virus.Win32.Polip.A

100,0%

VirusBuster

Win32.Polipos.A.Gen

100,0%

Quelle: AV-Test, Stand: 27.04.06

0 Kommentare zu diesem Artikel
59238