Sober: Reaktionszeiten der Antivirus-Hersteller
Viele Virenscanner erkennen den neuen Sober-Wurm bereits mit den Updates der letzten Woche.
Seit Montag Abend verbreitet sich eine neue Version des Sober-Wurms per Mail (wir berichteten). Die AV-Test GmbH in Magdeburg hat für uns getestet, welche Antivirus-Programme den neuen Wurm ab welchem Zeitpunkt erkennen.
Dabei zeigt sich, dass einige Virenscanner den neuen Wurm bereits ohne ein aktuelles Update erkennen können, die meisten schaffen es mit einem Update aus der letzten Woche. Getestet wurde mit dem Wurm, der herstellerübergreifend als "CME-681" bezeichnet wird. Im Gegensatz zu der Variantenvielfalt bei den Sober-Würmern in der letzten Woche gibt es hiervon nur identische Kopien, also keine Varianten.
Pandas "Truprevent"-Technik erkennt Schädlinge an typischen Verhaltensmustern, auch wenn sie nicht mit Namen identifiziert werden können. AntiVir, NOD32 und Sophos enthalten so genannte generische Signaturen, die offenbar geschickt genug gestaltet sind, um einen Sober als solchen zu erkennen, ohne dass die konkrete Variante bereits bekannt wäre.
Erkennung ohne aktuelle Updates:
| Antivirus | Wurmname |
|---|---|
| Panda TruPrevent | erkannt (verhaltensbasiert) |
| AntiVir | Worm/Sober.Gen |
| Dr Web | Win32.HLLM.Generic.355 |
| eSafe | Trojan/Worm (suspicious) |
| Fortinet | suspicious |
| NOD32 | Win32/Sober worm (variant) |
| Sophos | W32/Sober-Gen |
Mit einem etwas neueren Update, das Heimanwender am Wochenende installiert haben könnten, findet ein großer Anteil der getesteten Antivirus-Produkte den Sober-Wurm. In der folgenden Tabelle sind auch die Antivirus-Hersteller aufgeführt, die bereits ohne aktuelles Update erfolgreich sind. Genannt wird hier der Zeitpunkt, zu dem ein Update mit einer genaueren Erkennung verfügbar war.
| Antivirus | Datum | Uhrzeit | Wurmname |
|---|---|---|---|
| AntiVir | 15.11.2005 | 12:33 | Worm/Sober.Y |
| McAfee | 16.11.2005 | 17:28 | W32/Sober.gen@MM |
| Kaspersky | 16.11.2005 | 20:07 | Email-Worm.Win32.Sober.y |
| Gdata AVK | 16.11.2005 | 20:23 | Email-Worm.Win32.Sober.y (KAV) |
| F-Secure | 16.11.2005 | 21:32 | Email-Worm.Win32.Sober.y |
| Hauri | 17.11.2005 | 10:15 | I-Worm.Win32.Sober.AD |
| Norman | 17.11.2005 | 13:14 | W32/Sober.gen@mm (Sandbox) |
| AVG | 18.11.2005 | 13:58 | I-Worm/Sober.CF |
| NOD32 | 18.11.2005 | 20:47 | Win32/Sober.Y worm |
| BitDefender | 19.11.2005 | 18:38 | Win32.Sober.AD@mm |
| Symantec | 19.11.2005 | 20:56 | W32.Sober.X@mm |
| Norman | 21.11.2005 | 13:18 | W32/Sober.AA@mm |
| ClamAV | 21.11.2005 | 20:45 | Worm.Sober.U |
| F-Prot | 21.11.2005 | 21:00 | W32/Sober.Z@mm |
| eSafe | 21.11.2005 | 21:30 | Win32.Sober.y |
| Command AV | 21.11.2005 | 21:31 | W32/Sober.Z@mm |
| Fortinet | 21.11.2005 | 22:10 | W32/Sober.AD-mm |
| eTrust-INO | 21.11.2005 | 22:33 | Win32/Sober.W!Worm |
| Trend Micro | 22.11.2005 | 00:46 | WORM_SOBER.AG |
| Panda | 22.11.2005 | 01:10 | W32/Sober.AH.worm |
| Ikarus | 22.11.2005 | 01:28 | Email-Worm.Win32.Sober.Y |
| Sophos | 22.11.2005 | 02:44 | W32/Sober-Z |
| eTrust-VET | 22.11.2005 | 04:38 | Win32.Sober.W |
| Avast! | 22.11.2005 | 11:09 | Win32:Sober-AB [Wrm] |
Bei Symantec-Produkten scheint es hier und da Probleme mit der Aktualisierung gegeben zu haben. Trotz seit 19.11. verfügbarer und installierter Updates wurde die neue Sober-Version zum Teil nicht erkannt. Die Ursache dafür konnte bislang nicht geklärt werden. Symantec hat inzwischen sein Programm "FixSbr" zur Entfernung von Sober-Würmern aktualisiert, so dass es auch die neuen Varianten erkennen und entfernen kann.
