68062

Sober-Wurm: Reaktionszeiten der Antivirus-Hersteller

11.10.2005 | 16:02 Uhr |

Wie schnell haben die Antivirus-Hersteller Updates bereit gestellt, die den neuen Sober-Wurm erkennen?

Am 6. Oktober wurde eine neue Variante des Mail-Wurms "Sober" in Umlauf gebracht ( wir berichteten ). Die Hersteller von Antivirus-Software stellten so schnell wie möglich Updates für ihre Programme bereit, mit denen der neue Wurm erkannt wird. Wer war am schnellsten, wer brauchte gar kein Update?

Dieser Frage geht für uns regelmäßig das Testlabor AV-Test in Magdeburg nach. Dort werden in Abständen von wenigen Minuten die Updates nahezu aller marktrelevanten Antivirus-Programme abgerufen und archiviert. So kann auch im Nachhinein die Erkennung eines neu entdeckten Schädlings zu einem beliebigen Zeitpunkt nachgestellt werden.

AV-Test konzentrierte sich für diesen Test auf die erste entdeckte Variante des Sober-Wurms, der die Hersteller-neutrale Kennung "CME-151" trägt. CME steht für " Common Malware Enumeration ". Getestet wurden die Virenscanner mit Updates beginnend ab 1. Oktober 2005.

Die Testergebnisse zeigen, dass mehrere Virenscanner den neuen Wurm auch ohne spezielles Update erkennen. Dies sind Dr Web, Esafe, Fortinet, Quickheal und NOD32, wobei NOD32 als einziges dieser Produkte den Wurm als (vermutlich) neue Sober-Variante identifiziert. Am Morgen des 6. Oktober stellt Eset trotzdem ein Update bereit, mit dem NOD32 den Wurm als "Win32/Sober.R worm" erkennt.

Bei den Antivirus-Produkten, die CME-151 ohne Update nicht erkennen, hat Bitdefender die Nase vorn. Bereits um 02:54 Uhr am 6. Oktober ist ein Update verfügbar. Wenige Minuten später folgen Clam AV und AntiVir. Kaspersky und F-Prot schaffen es ebenfalls noch mit weniger als einer Stunde Rückstand auf Bitdefender. Dann passiert mehr als eine Stunde lang nichts, bis gegen 5 Uhr Sophos ein Update bereit hat. Bis um 8:00 Uhr morgens folgen Command AV, Panda und McAfee, danach Symantec, Etrust (VET-Engine), F-Secure und Ikarus. Kaspersky hat in der Zwischenzeit zweimal den Namen des Wurms geändert. Bis 11:00 Uhr schaffen es auch noch Norman, Ewido, Trend Micro und AVG. Der Rest folgt im Laufe des Tages.

Erkennung ohne Update :

Dr Web

01.10.2005

10:19

BACKDOOR.Trojan (probably)

Quickheal

02.10.2005

02:55

Suspicious (warning)

Esafe

02.10.2005

17:18

Trojan/Worm (suspicious)

Nod32

03.10.2005

10:38

Win32/Sober worm (probably variant)

Fortinet

03.10.2005

20:20

suspicious

Verfügbarkeit von passenden Updates :

Bitdefender

06.10.2005

02:54

Win32.Sober.S@mm

Clam AV

06.10.2005

03:00

Worm.Sober.R

AntiVir

06.10.2005

03:13

Worm/Sober.Q

Kaspersky

06.10.2005

03:26

Trojan-PSW.Win32.VB.gr

F-Prot

06.10.2005

03:50

W32/Sober.R@mm (exact)

Sophos

06.10.2005

05:07

W32/Sober-O

Command AV

06.10.2005

05:42

W32/Sober.R@mm (exact)

Panda

06.10.2005

05:53

W32/Sober.Y.worm

McAfee

06.10.2005

07:13

W32/Sober.r@MM

Fortinet

06.10.2005

07:35

W32/VB.GR-pws

Symantec

06.10.2005

08:36

W32.Sober.Q@mm

Etrust-VET

06.10.2005

08:40

Win32.Sober.P

F-Secure

06.10.2005

08:45

Email-Worm.Win32.VB.ba

Ikarus

06.10.2005

08:45

Email-Worm.Win32.Sober.S

Norman

06.10.2005

09:51

W32/Sober.R@mm

Ewido

06.10.2005

09:52

Worm.Sober.s

Trend Micro

06.10.2005

10:31

WORM_SOBER.AC

AVG

06.10.2005

10:57

I-Worm/Sober.S

Etrust-INO

06.10.2005

15:22

Win32/Sober.P!Worm

VBA32

06.10.2005

18:10

Email-Worm.Win32.Sober.s

0 Kommentare zu diesem Artikel
68062