Sober-Wurm zum Teil ohne Update erkannt

Einige Virenscanner konnten den neuesten Sober-Wurm auch ohne aktualisierte Virensignaturen als Bedrohung erkennen - entweder als Mitglied der Sober-Familie oder zumindest als potenziellen Schädling. Die Anwender der meisten Produkte blieben jedoch bis zur Installation eines neuen Updates ungeschützt.

Im Antivirus-Testlabor der AV-Test GmbH werden routinemäßig die Reaktionszeiten der Antivirus-Hersteller geprüft. Im Abstand von wenigen Minuten werden die Download-Server automatisch nach neuen Updates durchsucht. Sie werden herunter geladen und und die damit aktualisierten Programme gegen die neuesten Schädlinge getestet.

Die Programmdatei des am Montag aufgetauchten Sober-Wurms wurde um 16:00 Uhr erstellt und war mutmaßlich wenig später im Umlauf. Auf Basis dieser Annahme dauerte es ungefähr zweieinhalb Stunden, bis die ersten Virenscanner den Wurm mit regulären, also von der Qualitätssicherung des Herstellers abgesegneten Updates erkennen konnten. Im Vorteil waren Kunden von McAfee und Benutzer von Antivir, denn die Antivirus-Lösungen beider Hersteller erkannten den Sober-Wurm als solchen, ohne dass ein neues Update installiert war. Drei weitere Produkte fanden die Datei zumindest verdächtig genug, um eine Warnmeldung anzuzeigen.

Bei den Virenscannern, die nicht ohne Update auskamen, war der Open-Source-Scanner Clam-AV einen Tick schneller als Kaspersky Labs. Der dritte Platz ging an F-Prot aus Island, noch vor Gdatas AVK, das mit der Technik von Kaspersky (KAV) arbeitet. Gdata muss die Updates jedoch erstmal aus Russland holen und dann auf den eigenen Update-Servern bereit stellen. Von den Herstellern mit großem Marktanteil brauchte Symantec dieses Mal die meiste Zeit, bis ein für alle Kunden verfügbares Update zur Verfügung stand. Bis auf Reliable Antivirus (RAV) des von Microsoft übernommenen rumänischen Herstellers Gecad boten alle anderen Produkte noch vor Mitternacht unserer Zeit Schutz vor dem neuen Schädling - vorausgesetzt, die Updates wurden auch installiert.