Trend Micro Netzwerkadapter
| Hersteller: | Trend Micro |
|---|---|
| Kategorie: | Netzwerkkarte |
| Preise: | - |
| Testnote: | - |
| Leserwertung: |
Polymorpher Virus fordert die Antivirus-Hersteller heraus
Vor etlichen Jahren waren Viren, die sich bei jeder neuen Infektion selbst veränderten, Alltagsgeschäft für Virenforscher. Inzwischen bestimmen andere Malware-Arten die Tagesordnung. Mit "W32/Polip" ist in der letzten Woche ein neuer Vertreter der Klasse so genannter polymorpher Viren aufgetaucht. Das Testlabor AV-Test (http://www.av-test.de) hat getestet, wie moderne Antivirus-Produkte damit zurecht kommen.
Der Virus ist zugleich auch ein P2P-Wurm, er breitet sich über die Freigaben Gnutella-kompatibler Filesharing-Software wie Bearshare oder Gnucleus aus. W32/Polip infiziert ausführbare Dateien mit den Endungen ".exe" und ".scr" im Windows- und im Programme-Verzeichnis sowie in deren Unterverzeichnissen. Einige der infizierten Dateien sind dann irreparabel beschädigt. Er versteckt sich Arbeitsspeicher, indem er seinen Programm-Code in andere laufende Prozesse injiziert. Außerdem schaltet er vorhandene Sicherheits-Software aus, etwa Virenscanner oder Desktop Firewalls. Es wurden allerdings bislang nur recht wenige Exemplare in freier Wildbahn gesichtet.
Das Problem bei polymorphen Viren ist, dass sie beim Infizieren einer Datei nicht einfach immer denselben Code anhängen, sondern diesen Code ständig verändern. So verwendet W32/Polip zu diesem Zweck eine relativ komplexe Verschlüsselungsroutine. Nur mit ausgeklügelten statischen Signaturen können Virenscanner da etwas ausrichten. Das Nachbilden der Entschlüsselungsroutine ist mutmaßlich zuverlässiger, führt jedoch zu längeren Scan-Zeiten.
Die Virenforscher benötigten meist mehrere Tage, bis sie ihren Produkten eine halbwegs zuverlässige Erkennung mit diesem Virus infizierter Dateien beigebracht hatten. Der russische Hersteller Dr. Web konnte bereits am 21. April mit einer recht guten Erkennungsleistung aufwarten. Grisoft (AVG) und Trend Micro hingegen stellten erst am 26. beziehungsweise 27. April ein Update bereit, mit dem die meisten der infizierten Dateien erkannt werden. Microsoft-Produkte und die Open-Source-Lösung Clam AV finden nach wie vor keine einzige Polip-Infektion.
Nur wenige Scanner erkannten alle knapp 500 infizierten Dateien des Testfelds. Jeder Wert unter 100 Prozent deutet auf Schwächen bei der Erkennung hin - auch 99,8 Prozent. In der Praxis bedeutet dies, dass infizierte Dateien auf der Festplatte verbleiben können, die eine weitere Ausbreitung und Neuinfektion ermöglichen. Eine zuverlässige Reparatur der Dateien ist kaum möglich. Daher sollten infizierte Systeme besser komplett neu aufgesetzt werden.
Die Ergebnisse im Detail:
| Anti-Virus | Malware-Name | Erkennungsrate (in Prozent) |
|---|---|---|
| AntiVir | W32/Polipos | 100,0% |
| Avast! | Win32:Polipos | 100,0% |
| AVG | Win32/Polipos | 98,4% |
| BitDefender | Win32.Polip.A | 100,0% |
| ClamAV | - | 0,0% |
| Command | W32/Polipos.A | 95,2% |
| Dr Web | Win32.Polipos | 100,0% |
| eSafe | Win32.Polipos.sus | 99,8% |
| eTrust-INO | Win32/Polipos!Worm | 99,0% |
| eTrust-VET | Win32/Polip.A | 96,0% |
| Ewido | Worm.Polipos.a | 0,8% |
| Fortinet | W32/Polipos.A | 49,7% |
| F-Prot | P2P-Worm.Win32.Polip.a | 95,2% |
| F-Secure | W32/Polipos.V12 | 100,0% |
| Ikarus | P2P-Worm.Win32.Polipos.a | 98,0% |
| Kaspersky | P2P-Worm.Win32.Polip.a | 100,0% |
| McAfee | W32/Polip | 100,0% |
| Microsoft | - | 0,0% |
| Nod32 | Win32/Polip virus | 99,8% |
| Norman | W32/Polipos.A | 99,6% |
| Panda | W32/Polipos.A | 99,4% |
| QuickHeal | W32.PoliPos | 97,8% |
| Sophos | W32/Polipos-A | 99,8% |
| Symantec/Norton | W32.Polip | 100,0% |
| Trend Micro | PE_POLIP.A | 99,8% |
| VBA32 | Virus.Win32.Polip.A | 100,0% |
| VirusBuster | Win32.Polipos.A.Gen | 100,0% |
| Quelle: AV-Test, Stand: 27.04.06 |
