163622

Sober: Reaktionszeiten der Antivirus-Hersteller

23.11.2005 | 14:59 Uhr |

Viele Virenscanner erkennen den neuen Sober-Wurm bereits mit den Updates der letzten Woche.

Seit Montag Abend verbreitet sich eine neue Version des Sober-Wurms per Mail ( wir berichteten ). Die AV-Test GmbH in Magdeburg hat für uns getestet, welche Antivirus-Programme den neuen Wurm ab welchem Zeitpunkt erkennen.

Dabei zeigt sich, dass einige Virenscanner den neuen Wurm bereits ohne ein aktuelles Update erkennen können, die meisten schaffen es mit einem Update aus der letzten Woche. Getestet wurde mit dem Wurm, der herstellerübergreifend als " CME-681 " bezeichnet wird. Im Gegensatz zu der Variantenvielfalt bei den Sober-Würmern in der letzten Woche gibt es hiervon nur identische Kopien, also keine Varianten.

Pandas "Truprevent"-Technik erkennt Schädlinge an typischen Verhaltensmustern, auch wenn sie nicht mit Namen identifiziert werden können. AntiVir, NOD32 und Sophos enthalten so genannte generische Signaturen, die offenbar geschickt genug gestaltet sind, um einen Sober als solchen zu erkennen, ohne dass die konkrete Variante bereits bekannt wäre.

Erkennung ohne aktuelle Updates:

Antivirus

Wurmname

Panda TruPrevent

erkannt (verhaltensbasiert)

AntiVir

Worm/Sober.Gen

Dr Web

Win32.HLLM.Generic.355

eSafe

Trojan/Worm (suspicious)

Fortinet

suspicious

NOD32

Win32/Sober worm (variant)

Sophos

W32/Sober-Gen

Mit einem etwas neueren Update, das Heimanwender am Wochenende installiert haben könnten, findet ein großer Anteil der getesteten Antivirus-Produkte den Sober-Wurm. In der folgenden Tabelle sind auch die Antivirus-Hersteller aufgeführt, die bereits ohne aktuelles Update erfolgreich sind. Genannt wird hier der Zeitpunkt, zu dem ein Update mit einer genaueren Erkennung verfügbar war.

Antivirus

Datum

Uhrzeit

Wurmname

AntiVir

15.11.2005

12:33

Worm/Sober.Y

McAfee

16.11.2005

17:28

W32/Sober.gen@MM

Kaspersky

16.11.2005

20:07

Email-Worm.Win32.Sober.y

Gdata AVK

16.11.2005

20:23

Email-Worm.Win32.Sober.y (KAV)

F-Secure

16.11.2005

21:32

Email-Worm.Win32.Sober.y

Hauri

17.11.2005

10:15

I-Worm.Win32.Sober.AD

Norman

17.11.2005

13:14

W32/Sober.gen@mm (Sandbox)

AVG

18.11.2005

13:58

I-Worm/Sober.CF

NOD32

18.11.2005

20:47

Win32/Sober.Y worm

BitDefender

19.11.2005

18:38

Win32.Sober.AD@mm

Symantec

19.11.2005

20:56

W32.Sober.X@mm

Norman

21.11.2005

13:18

W32/Sober.AA@mm

ClamAV

21.11.2005

20:45

Worm.Sober.U

F-Prot

21.11.2005

21:00

W32/Sober.Z@mm

eSafe

21.11.2005

21:30

Win32.Sober.y

Command AV

21.11.2005

21:31

W32/Sober.Z@mm

Fortinet

21.11.2005

22:10

W32/Sober.AD-mm

eTrust-INO

21.11.2005

22:33

Win32/Sober.W!Worm

Trend Micro

22.11.2005

00:46

WORM_SOBER.AG

Panda

22.11.2005

01:10

W32/Sober.AH.worm

Ikarus

22.11.2005

01:28

Email-Worm.Win32.Sober.Y

Sophos

22.11.2005

02:44

W32/Sober-Z

eTrust-VET

22.11.2005

04:38

Win32.Sober.W

Avast!

22.11.2005

11:09

Win32:Sober-AB [Wrm]

Bei Symantec-Produkten scheint es hier und da Probleme mit der Aktualisierung gegeben zu haben. Trotz seit 19.11. verfügbarer und installierter Updates wurde die neue Sober-Version zum Teil nicht erkannt. Die Ursache dafür konnte bislang nicht geklärt werden. Symantec hat inzwischen sein Programm " FixSbr " zur Entfernung von Sober-Würmern aktualisiert, so dass es auch die neuen Varianten erkennen und entfernen kann.

0 Kommentare zu diesem Artikel
163622