a-squared Anti-Malware Comodo Internet Security Online Armor Outpost Firewall Pro ThreatFire TESTMETHODE

Transkript

1 VERHALTENSBASIERENDE ERKENNUNG VON SCHADPROGRAMMEN Die verhaltensbasierende Erkennung der unten angeführten Programme wird mit zehn verschiedenen Schadprogrammen auf ihre Wirksamkeit überprüft. GETESTETE PROGRAMME a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro TESTMETHODE Alle Programme werden mit den Standardeinstellungen getestet, so wie sie fraglos von der großen Mehrzahl der Benutzer auch verwendet werden und das erleichtert natürlich auch die Vergleichbarkeit, da so einfach zu erkennen ist, welcher Schutz durch diese HIPS, IDS oder Verhaltensblocker Module der Programme Out of the box, also eben mit den Standardeinstellungen geboten wird. Als Betriebssystem kam Windows XP Pro SP3 inklusive aktueller Updates zum Einsatz. Alle Tests wurden unter einem Administratorkonto ausgeführt. Für die Tests wurden mit FirstDefense-ISR fünf identische Snapshots erstellt und in jeden Snapshot ein zu testendes Programm installiert. Diese fünf Snapshots wurden auf einer externen Festplatte archiviert und nach jedem Test wiederhergestellt. Zusätzlich wurde bei Bedarf Shadow Defender zur Virtualisierung des Systems verwendet. Da mit Schadprogrammen getestet wurde, welche die Anti-Virus bzw. Anti-Spyware Module einige der getesteten Programme zum Teil erkennen, wurden folgende Einstellungen für eine verhaltensbasierende Erkennung vorgenommen: a-squared Anti-Malware Der Anti-Virus OnExecution Scan wurde deaktiviert. Comodo Internet Security Die Anti-Virus Echtzeit-Prüfung wurde auf Aus gestellt. Es wurden keine Veränderungen vorgenommen. Outpost Firewall Pro Der Anti-Spyware Echtzeit-Schutz wurde deaktiviert. Es wurden keine Veränderungen vorgenommen. Seite 1

2 Alle Schadprogramme wurden aus Sicherheitsgründen Offline ausgeführt, also ohne eine aktive Verbindung zum Internet. Die diversen Community-Features der Programme spielten deswegen bei der Ausführung keine Rolle. Jedes Programm wurde vor der Ausführung eines Schadprogramms über das Internet aktualisiert bzw. es wurde die aktuellste Version installiert. Die Versionsnummern der getesteten Programme sind bei den einzelnen Tests angegeben. Die Benennung der Schadprogramme erfolgt nach Kaspersky. Mit dem für jedes Schadprogramm angegebenen MD5 Hash ist die exakte Datei des Tests definiert und es kann z.b. bei VirusTotal das verwendete Schadprogramm überprüft werden. Die relevanten Aktionen der Schadprogramme werden beim jeweiligen Test erläutert. Die Auswahl der Schadprogramme für den Test erfolgte natürlich nicht mit den getesteten Programmen, sondern mit Anubis, Viruslist, ThreatExpert, mit dem Real-Time Defender, SanityCheck, GMER, dem Process Explorer, RunScanner und diversen anderen Webseiten und Tools. BEWERTUNG Test das getestete Programm hat alle schädlichen Aktionen und alle unerwünschten Systemveränderungen verhindern können. das getestete Programm hat nicht alle schädlichen Aktionen und alle unerwünschten Systemveränderungen verhindern können. Mit schädliche Aktionen sind die primären Aktionen der Schadprogramme gemeint, wie z.b. das erfolgreiche Installieren eines globalen Hooks. Mit unerwünschte Systemveränderungen sind sekundäre Aktionen der Schadprogramme gemeint, wie z.b. das Deaktivieren des Task-Managers. Die Ausführung der Schadprogramme wurde selbstverständlich für den Test immer zugelassen. Geantwortet wurde bei den Meldungsfenstern immer mit Standardantworten, die erweiterten bzw. verborgenen Menüs einiger Programme wurden beim Test ignoriert. Beispielhaft wird für jedes Programm ein Meldungsfenster gezeigt, falls ein solches erscheint. Dieses ist aber nicht zwangsläufig für die Bewertung relevant, sondern es hat auch einen informativen Charakter, um die Verständlichkeit der Meldungsfenster der getesteten Programme darzustellen. Test 1: Trojan.Win32.Qhost.kkf MD5 Hash: dfa8bd be8d74f95d9ead9ea8f Der Trojaner erzeugt einen Autostart, verändert die Hosts Datei, debuggt auf Systemlevel, deaktiviert u.a. den Task-Manager, schreibt in den virtuellen Speicher des Explorers und greift über die systempre.exe auf das Netzwerk zu, um Angreifern den Remote-Zugriff zu ermöglichen. Seite 2

3 a- squared Anti-Malware Programmversion: Das schädliche Verhalten wird bei der Ausführung erkannt. Mit Blockieren konnte der Trojaner unschädlich gemacht werden. a-squared Anti-Malware hat den Test 1. Comodo Internet Security Programmversion: Comodo Internet Security erkennt die erste Aktion des Trojaners, die Erstellung des Autostart- Eintrages in der Registrierung. Mit Blockieren wurde die Aktion verboten und das Programm beendet, ohne irgendeinen Schaden verursachen zu können. Comodo Internet Security hat den Test 1. Seite 3

4 Programmversion: Nach der Erlaubnis der Ausführung wurden alle weiteren Aktionen verboten. Die schädlichen Aktionen wurden zwar alle geblockt, allerdings wurde die Deaktivierung des Task-Managers und die Löschung eines Hosts Eintrages ( localhost) nicht verhindert. hat den Test 1 nicht. Outpost Firewall Pro Programmversion: ( ) Es wurde die Erstellung und Ausführung der systempre.exe nicht verhindert. Die Datei war als aktiver Prozess im Task- Manager. CureIt fand diese systempre.exe in System32 Verzeichnis von Windows. Auch der angegebene Zielprozess im Bild links ist falsch, das war in Wirklichkeit die Explorer.exe. Outpost Firewall Pro hat den Test 1 nicht. Anmerkung: Warum die GUI Texte nicht vollkommen sichtbar waren, ist nicht nachvollziehbar. Es wurde die Standardeinstellung von 96 DPI und das Windows Zune Theme verwendet. Seite 4

5 Programmversion: erkennt den Trojaner und sperrt ihn automatisch. hat den Test 1. Anmerkung: Bei dem roten Warnfenster handelt es sich nicht um Signaturerkennung, sondern die Verhaltensanalyse der Datei stimmt mit der einer bekannten Bedrohung überein. Testergebnis Test 1 a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro Trojan.Win32. Qhost.kkf Test Test Test Test 2: Trojan.Win32.KillAV.yp MD5 Hash: eb8f9302faa3800f69d603a49ccf5ead Der Trojaner erzeugt Batch-Dateien, die ausführt und später wieder gelöscht werden. Die Hosts Datei wird gelöscht und durch eine manipulierte Datei ersetzt. Der Browser und der Generic Host Process werden über die batchfile.bat manipuliert und der Browser mit einer veränderten Seite gestartet. Durch die veränderte Hosts Datei wird auf bestimmte Seiten umgelenkt. a-squared Anti-Malware Programmversion: a-squared Anti-Malware zeigte bei der Ausführung des Trojan.Win32.KillAV.yp keine Reaktion. Die Hosts Datei wurde verändert und der Browser mit der manipulierten Seite gestartet. Das Malware-IDS Protokoll war leer. a-squared Anti-Malware hat den Test 2 nicht. Seite 5

6 Comodo Internet Security Programmversion: Auch Comodo Internet Security zeigte keine Reaktion. Die Hosts Datei wurde ebenfalls verändert und der Browser mit der manipulierten Seite gestartet. Unter Defense+ Ereignisse waren keine Einträge vorhanden. Comodo Internet Security hat den Test 2 nicht. Programmversion: warnt mehrfach vor den Aktionen des Trojan.Win32.KillAV.yp, unter anderem vor der Erstellung und Ausführung der Batch-Dateien, vor der Veränderung der Hosts Datei und auch vor dem Start des Browsers über die Batch-Datei, wie im Bild links zu sehen ist. Alle diese Aktionen wurden von Online Armor geblockt. hat den Test 2. Outpost Firewall Pro Programmversion: ( ) Die Outpost Firewall Pro zeigte auch keine Reaktion auf das Ausführen des Trojan.Win32.KillAV.yp. Die Hosts Datei wurde verändert und der Browser mit der manipulierten Seite gestartet. Im Event Viewer waren keine relevanten Einträge. Outpost Firewall Pro hat den Test 2 nicht. Seite 6

7 Programmversion: meldet zwar das verdächtige Verhalten und verschiebt bei beenden und sperren alles in die Quarantäne, nur war zu diesem Zeitpunkt die originale Hosts Datei vom Trojaner schon gelöscht worden. Die veränderte Hosts Datei konnte er allerdings nicht mehr erstellen, das hat verhindert. hat den Test 2 nicht. Testergebnis Test 2 a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro Trojan.Win32. KillAV.yp Test Test 3: Trojan-Spy.Win32.KeyLogger.ng MD5 Hash: 9db796ec20fd0c30f2b59c2bb7d65de7 Der Trojan-Spy.Win32.KeyLogger.ng zeichnet Eingaben auf und versendet diese über eine integrierte SMTP Client Engine. Dazu erstellt er drei DLLs im Windows Verzeichnis, die LINKINFO.dll, die olinkinfo.dll und die SFDLL.DLL und lässt diese automatisch mit dem Explorer starten. Zur sofortigen Integration der DLLs beendet der Trojaner den Explorer Prozess und startet ihn neu. Seite 7

8 a-squared Anti-Malware Programmversion: Nach dem Blockieren der Aktion bleibt nur die LINKINFO.DLL als 0-Byte Datei im Windows Verzeichnis zurück. Der Trojan-Spy.Win32.KeyLogger.ng wurde also praktisch vollkommen unschädlich gemacht. a-squared Anti-Malware hat den Test 3. Comodo Internet Security Programmversion: Trotz des Blockierens wurde die LINKINFO.DLL im Windows Verzeichnis erstellt und in den Explorer geladen. Ein weiteres Meldungsfenster gab es nicht. Comodo Internet Security hat den Test 3 nicht. Anmerkung: Das Comodo Anti-Virus erkannte die in den Explorer Prozess geladene Datei LINKINFO.DLL als TrojWare.Win32.Spy.KeyLogger.qc@ Seite 8

9 Programmversion: Die Erstellung der DLLs und das Beenden und Neustarten des Explorers konnte mit beblockt werden. hat den Test 3. Outpost Firewall Pro Programmversion: ( ) Auf die Ausführung des Trojan-Spy.Win32.KeyLogger.ng erfolgte keinerlei Reaktion der Outpost Firewall Pro. Der Explorer wurde sofort beendet und neu gestartet und alle drei DLLs waren danach in den Explorer Prozess geladen. Outpost Firewall Pro hat den Test 3 nicht. Seite 9

10 Programmversion: entfernt zwei der drei DLLs und verhindert den Neustart des Explorers. Die dritte DLL, die olinkinfo.dll, bleibt nach der Aktion verwaist im Windows Verzeichnis zurück. Sie wurde also nicht in den Explorer geladen. Diese olinkinfo.dll wird bei VirusTotal von keinem Anti-Virus als schädlich erkannt. hat den Test 3. Testergebnis Test 3 a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro Trojan-Spy.Win32. KeyLogger.ng Test Test Test Test 4: Trojan-Spy.Win32.Hookit.11 MD5 Hash: acc1d8be8fe39e00c492efec Der Trojan-Spy.Win32.Hookit.11 öffnet zwei Fenster, nachdem man bei diesen auf Ja und OK geklickt hat erstellt er einen Autostart in der Windows Registrierung, die HookIt.dll im Windows Verzeichnis und einen globalen Hook. Dann protokolliert er alle Tastatureingaben mit dem Namen des dazugehörigen Programmfensters in der Datei Oh~Men~, die im gleichen Verzeichnis wie die Trojan-Spy.Win32.Hookit.11.exe erstellt wird. Seite 10

11 a-squared Anti-Malware Programmversion: a-squared Anti-Malware meldet den versuchten Autostarteintrag. Nach dem Blockieren wird auch die Erstellung der HookIt.dll geblockt und der Trojan- Spy.Win32.Hookit.11 somit unschädlich gemacht. a-squared Anti-Malware hat den Test 4. Comodo Internet Security Programmversion: Der Trojan-Spy.Win32.Hookit.11 kann nach dem Blockieren keinen Autostart erstellen, aber die HookIt.dll wird im Windows Verzeichnis erstellt. Da aber die Erstellung des globalen Hooks von Comodo Internet Security verboten wurde, ist die Datei harmlos. Comodo Internet Security hat den Test 4. Anmerkung: Das Comodo Anti-Virus erkennt die HookIt.dll nicht als Schadprogramm. Bei Virus Total erkennen sie allerdings 71% als infiziert, was also zu Irritationen beim Scan mit vielen anderen Anti-Viren Programmen führen könnte. Seite 11

12 Programmversion: Nach dem Verbieten des Autostart-Schlüssels in der Registrierung wird auch die Erstellung der HookIt.dll im Windows Verzeichnis verboten. Damit wird der Trojan-Spy.Win32.Hookit.11 vollkommen unschädlich gemacht. hat den Test 4. Outpost Firewall Pro Programmversion: ( ) Outpost Firewall Pro blockt zwar den Autostart, wie im Bild links zu sehen, die HookIt.dll im Windows Verzeichnis und der globale Hook werden allerdings erstellt. Der Prozess Trojan-Spy.Win32.Hookit.- 11.exe ist aktiv und die Tastatureingaben werden in der Logdatei Datei Oh~Men~ aufgezeichnet. Outpost Firewall Pro hat den Test 4 nicht. Anmerkung: Der Spyware Scanner der Outpost Firewall Pro erkennt die Datei HookIt.dll im Windows Verzeichnis als Hookit (Malware). Seite 12

13 Programmversion: meldet den versuchten Autostarteintrag. Nach dem Beenden und Sperren wird die Trojan- Spy.Win32.Hookit.11.exe entfernt. HookIt.dll wird keine im Windows Verzeichnis erstellt. hat den Test 4. Testergebnis Test 4 a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro TrojanSpy.Win32. Hookit.11 Test Test Test Test Test 5: Trojan-Downloader.Win32.Agent.npp MD5 Hash: c933e8a739b0e8412b358e7ee Nach dem Ausführen der Trojan-Downloader.Win32.Agent.npp.exe läuft dieser Prozess versteckt weiter, er ist also im Task-Manager nicht sichtbar. Der Trojan-Downloader erstellt die cssrss.exe im System32 Verzeichnis von Windows und einen dazugehörigen Autostart-Eintrag in der Registrierung. Weiters installiert er die nso12k.sys, welche als Treiber in das System eingebunden wird. Der Treiber nso12k.sys fungiert als IP Filter Treiber und er hookt Windows Systemprozesse. Das Ziel ist die Kontrolle über den Internetverkehr zu erlangen und weiteren Schadprogrammen ihre Aktivitäten zu ermöglichen. Seite 13

14 a-squared Anti-Malware Programmversion: a-squared Anti-Malware warnt vor dem ungewöhnlichen Verhalten des Trojan-Downloaders. Nach dem Blockieren wird der Prozess beendet ohne irgendwelche schädliche Aktionen ausführen zu können. a-squared Anti-Malware hat den Test 5. Comodo Internet Security Programmversion: Das ist das einzige Meldungsfenster von Comodo Internet Security. Nach dem Blockieren der Erstellung des Treibers läuft der Prozess Trojan-Downloader.Win32.- Agent.npp.exe sichtbar im Task-Manager, das Verstecken des Prozesses ist also nicht gelungen. Dieser Prozess bleibt zwar bis zum Neustart aktiv, ihm wurden aber alle Rechte entzogen und auch alle übrigen Aktionen von Comodo Internet Security geblockt. Comodo Internet Security hat den Test 5. Seite 14

15 Programmversion: blockte die Erstellung des Autostarts, die Installation des Treibers, die Erstellung der Dateien cssrss.exe und nso12k.sys und direkte Prozessmanipulationen der Trojan-Downloader.Win32.- Agent.npp.exe. Der Prozess Trojan-Downloader.Win32.- Agent.npp.exe lief zwar weiter, das alleine verursachte aber keinen Schaden. hat den Test 5. Outpost Firewall Pro Programmversion: ( ) Outpost Firewall Pro blockt die Installation des Treiber und des Autostarts, die cssrss.exe, Downloader-Agent (Malware)* und die nso12k.sys, Agent (Rootkit)* werden allerdings im System32 Verzeichnis von Windows erstellt und die Trojan-Downloader.Win32.Agent.npp.exe läuft ebenfalls als sichtbarer Prozess weiter. Der Prozess ist aber neutralisiert und von den Dateien geht keine Gefahr mehr aus. Outpost Firewall Pro hat den Test 5. * Benennung nach dem Spyware Scanner der Outpost Firewall Pro. Anmerkung: Der Treiber-Name (Driver) im Bild oben ist falsch, das sollte eigentlich die nso12k.sys sein. Seite 15

16 Programmversion: Nach dem Beenden und Sperren der Installation des Treibers blockte alle weiteren Aktionen automatisch. Weder ein Autostart noch eine Datei wurde erstellt. hat den Test 5. Testergebnis Test 5 Trojan-Downloader. Win32.Agent.npp a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro Test Test Test Test Test Test 6: Trojan-Proxy.Win32.Xorpix.ar MD5 Hash: 148ca99b348a4491cd8d9f1ce8ec8ca1 Die Trojan-Proxy.Win32.Xorpix.ar.exe schreibt nach dem Start in den Speicher der Winlogon.exe und injiziert einen Remote-Thread in diesen Prozess. Der Trojaner erstellt weiters die winsys2f.dll im Verzeichnis C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\ und einen Winlogon Autostart für diese winsys2f.dll. Über die manipulierte Winlogon.exe startet der Trojaner dann den Internet Explorer und verschafft sich damit Zugriff auf das Internet. Letztendlich soll der Angreifer den attackierten Computer als Proxy Server missbrauchen können. Seite 16

17 a-squared Anti-Malware Programmversion: Mit dem Blockieren der versuchten Programmmanipulationen werden alle weiteren schädlichen Aktionen des Trojaners verhindert. a-squared Anti-Malware hat den Test 6. Comodo Internet Security Programmversion: Durch das Blocken der Prozessmanipulation wurden auch die Erstellung der winsys2f.dll sowie die übrigen schädlichen Aktionen verhindert. Comodo Internet Security hat den Test 6. Seite 17

18 Programmversion: Mit dem Blocken der Speichermanipulation wird das Programm beendet und kann keine schädlichen Aktionen ausführen. hat den Test 6. Outpost Firewall Pro Programmversion: ( ) Auch bei der Outpost Firewall Pro kann der Trojaner nach dem Blocken der Speichermanipulation keine schädlichen Aktionen mehr ausführen. Outpost Firewall Pro hat den Test 6. Seite 18

19 Programmversion: erkennt die versuchte Manipulation des Trojaners ebenfalls und nach dem Sperren und Beenden wurden keine schädlichen Aktionen ausgeführt. hat den Test 6. Testergebnis Test 6 Trojan-Proxy. Win32.Xorpix.ar a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro Test Test Test Test Test Test 7: Trojan-Spy.Win32.Iespy.ala MD5 Hash: 39855af5ad1b8a35d2559bf861f65764 Dieser Trojaner installiert ein Browserhilfsobjekt (BHO) für den Internet Explorer. Die entsprechende Datei mswapi.dll wird im System32 Verzeichnis von Windows erstellt. Weiters erstellt der Trojaner eine Batch-Datei delt.bat im temporären Verzeichnis, welche bei der Ausführung die Ursprungsdatei Trojan-Spy.Win32.Iespy.ala.exe löscht. Ziel des Trojaners ist es, den Internet Explorer zu überwachen und die gesammelten Informationen an eine vorgegebene Internetseite zu übertragen. a-squared Anti-Malware Programmversion: Seite 19

20 a-squared Anti-Malware zeigte bei der Ausführung der Trojan-Spy.Win32.Iespy.ala.exe keine Reaktion. Das Browserhilfsobjekt wurde in den Internet Explorer als Add-On geladen. a-squared Anti-Malware hat den Test 7 nicht. Comodo Internet Security Programmversion: Nachdem die Erstellung der mswapi.dll mit Comodo Internet Security geblockt wurde, wurden auch die Registrierungsschlüssel für das Browserhilfsobjekt nicht erstellt. Comodo Internet Security hat den Test 7. Programmversion: Mit wird die Erstellung der mswapi.dll verboten (Bild links) und in einer weiteren Meldung auch die Erstellung der BHO Schlüssel in der Registrierung. hat den Test 7. Seite 20

21 Outpost Firewall Pro Programmversion: ( ) Die Outpost Firewall Pro reagiert auf die Ausführung des Trojaners nicht, das Browserhilfsobjekt ist im Internet Explorer geladen. Outpost Firewall Pro hat den Test 7 nicht. Programmversion: erkennt die versuchte Installation des Internet Explorer Add-Ons. Nach Sperren und Beenden erfolgt weder die Erstellung der mswapi.dll noch eines Registrierungsschlüssels für das Browserhilfsobjekt. hat den Test 7. Testergebnis Test 7 a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro Trojan-Spy. Win32.Iespy.ala Test Test Test Seite 21

22 Test 8: Virus.Win32.Virut.n MD5 Hash: bf06ed566d9bb2d741e0b5a89879d7a5 Zuerst versucht der Virus einen Remote-Thread in der Winlogon.exe zu erzeugen, bei Erfolg werden dann über das Internet weitere Schadprogramme nachgeladen. Da der Test Offline erfolgte, konnte es dazu natürlich nicht kommen. Der Virus versucht ebenfalls Code in laufende Prozesse zu injizieren und er hookt die ntdll.dll, um z.b. NtCreateProcess zu überwachen. Bekannt ist Virut aber vor allem für die massenhafte Infektion u. a. von.exe Dateien. a-squared Anti-Malware Programmversion: a-squared Anti-Malware zeigte keine Reaktion auf die Ausführung. Eine kurze Zeit nach der Ausführung des Virus wurde der Bildschirm schwarz. Der Explorer ließ sich nicht mehr ausführen und wenn man a2start.exe, den GUI Prozess von a-squared Anti-Malware, über den Task-Manager startete, dann waren alle Schutzmodule als deaktiviert angezeigt. Man konnte auch keine Programme mehr installieren oder Dateien abspeichern. Es blieb letztlich nur noch der Reset-Knopf. a-squared Anti-Malware hat den Test 8 nicht. Comodo Internet Security Programmversion: Comodo Internet Security erkennt die versuchte Manipulation der winlogon.exe und mit dem Blockieren wurden dem Virus alle Rechte entzogen. Weiter schädliche Aktionen konnte er nicht ausführen. Comodo Internet Security hat den Test 8. Seite 22

23 Programmversion: Auch erkennt die versuchte Manipulation und der Virus konnte nach dem Verbieten keine schädlichen Aktionen mehr ausführen. RootKit Unhooker zeigte keine entsprechenden Hooks und das Kaspersky Virus Removal Tool fand keine Infektionen. hat den Test 8. Outpost Firewall Pro Programmversion: 6.5.5( ) Nach dem Blocken der Prozessmanipulation konnte der Virus keine schädlichen Aktionen mehr ausführen. GMER fand keine entsprechenden Hooks und CureIt keine Infektionen. Outpost Firewall Pro hat den Test 8. Seite 23

24 Programmversion: erkennt den Virus am bekannten Verhalten und entfernt ihn automatisch. Mit Avira konnte danach keine Infektionen gefunden werden und der RootKit Unhooker fand keine entsprechenden Hooks. hat den Test 8. Testergebnis Test 8 Virus.Win32. Virut.n a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro Test Test Test Test Test 9: Virus.Win32.Gpcode.ak MD5 Hash: 7cd8e2fc5fe2dc351f24417cc1d23afa Der Virus.Win32.Gpcode.ak verschlüsselt nach der Ausführung verschiedene Dateitypen, wie z.b..doc,.pdf,.txt,.jpg,.xls. Für jede Datei wird eine verschlüsselte Datei mit der Endung._CRYPT erstellt und das Original wird gelöscht. In jedem Ordner mit verschlüsselten Dateien erstellt der Erpresservirus eine Datei!_READ_ME_!.txt. In dieser findet sich eine Adresse und der Hinweis, dass man einen Decryptor kaufen muss, wenn man seine Dateien wieder entschlüsseln will. a-squared Anti-Malware Programmversion: a-squared Anti-Malware reagiert auf die Ausführung nicht, die Dateien werden verschlüsselt. a-squared Anti-Malware hat den Test 9 nicht. Seite 24

25 Comodo Internet Security Programmversion: Beim Start des Virus reagiert die Comodo Internet Security nicht, aber während die Verschlüsselung läuft, erscheint die Meldung im Bild links. Nach dem Blockieren ging die Verschlüsselung allerdings weiter. Comodo Internet Security hat den Test 9 nicht. Programmversion: Nachdem man die Ausführung des Virus mit erlaubt, kommt keine weitere Meldung und die Dateien werden verschlüsselt. hat den Test 9 nicht. Anmerkung: Die aktuelle Public Beta Version von schützt gegen diese Ransomware bzw. Erpresserviren. Outpost Firewall Pro Programmversion: 6.5.5( ) Outpost Firewall Pro reagiert auf die Ausführung auch nicht, die Dateien werden verschlüsselt. Outpost Firewall Pro hat den Test 9 nicht. Programmversion: Auch meldet nichts nach der Ausführung und während der Verschlüsselung der Dateien. hat den Test 9 nicht. Seite 25

26 Testergebnis Test 9 a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro Virus.Win32. Gpcode.ak Test 10: Trojan.Win32.KillDisk.b MD5 Hash: 36efcf8abfc31280cc7a8038f1e1967e Der Trojan.Win32.KillDisk.b greift direkt auf den Datenträger zu und überschreibt den Bootsektor der Festplatte. Der Computer wird unmittelbar nach der Ausführung des Trojaners heruntergefahren. Beim folgenden Neustart bleibt der Computer nach den BIOS Meldungen hängen, Windows startet nicht. a-squared Anti-Malware Programmversion: a-squared Anti-Malware erkennt den direkten Zugriffsversuch auf den Datenträger. Nach dem Blockieren ist die Gefahr gebannt. a-squared Anti-Malware hat den Test 10. Anmerkung: Die Erkennung dieser direkten Sektorenzugriffe setzt die Version voraus. Die anfangs hier getestete Version schützt dagegen nicht. Seite 26

27 Comodo Internet Security Programmversion: Der Computer wird unmittelbar nach der Ausführung des Trojan.Win32.KillDisk.b heruntergefahren. Comodo Internet Security schützt nicht, primär weil die entsprechende Option in den Standardeinstellungen deaktiviert ist. Comodo Internet Security hat den Test 10 nicht. Programmversion: warnt vor dem direkten Datenträgerzugriff. Nach dem Verbieten ist der Trojaner keine Bedrohung mehr. hat den Test 10. Outpost Firewall Pro Programmversion: 6.5.5( ) Mit der Outpost Firewall Pro wird der Computer auch sofort nach der Ausführung des Trojan.Win32.KillDisk.b heruntergefahren. Gleich wie bei der Comodo Internet Security ist die Überwachung des direkten Datenträgerzugriffs in den Grundeinstellungen deaktiviert. Outpost Firewall Pro hat den Test 10 nicht. Seite 27

28 Programmversion: Auch erkennt den direkten Zugriffsversuch auf den Datenträger. Nach dem Sperren und Beenden ist die Bedrohung beseitigt. hat den Test 10. Testergebnis Test 10 a-squared Anti-Malware Comodo Internet Security Outpost Firewall Pro Trojan.Win32. KillDisk.b Test Test Test ENDERGEBNIS Kein Programm konnte mit den Standardeinstellungen und mit den gegebenen Standardantworten gegen alle 10 Schadprogramme dieses Tests schützen. und schützten gegen 8 von 10. a-squared Anti-Malware und Comodo Internet Security schützten gegen 6 von 10. Outpost Firewall Pro schützte lediglich gegen 3 von 10. Seite 28

29 ERGEBNISTABELLE Testergebnis Test 1: Trojan. Win32.Qhost.kkf Test 2: Trojan. Win32.KillAV.yp Test 3: Trojan-Spy. Win32.KeyLogger.ng Test 4: Trojan-Spy. Win32.Hookit.11 Test 5: Trojan-Downloader. Win32.Agent.npp Test 6: Trojan-Proxy. Win32.Xorpix.ar Test 7: Trojan-Spy. Win32.Iespy.ala Test 8: Virus. Win32.Virut.n Test 9: Virus. Win32.Gpcode.ak Test 10: Trojan. Win32.KillDisk.b a-squared Anti-Malware Test Test Comodo Internet Security Test Test Test Test Test Test Outpost Firewall Pro Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Exkurs Dieser Teil spielt für die Bewertung der Programme beim Vergleichstest keine Rolle. Er dient lediglich zur Betrachtung von zwei Aspekten der getesteten Programme die Vorgaben für die Meldungsfenster und das Programmverhalten auf das Verbieten von Aktionen durch den Benutzer. Meldungsfenster Bei Comodo Internet Security, und muss der Benutzer bei den Meldungsfenstern entscheiden, ob er eine Aktion erlaubt oder verbietet. Diese Programme melden also ein bedenkliches Ereignis, liefern Informationen zum Grund der Meldung, aber die Entscheidung über das Erlauben oder Verbieten bleibt dem Benutzer überlassen. Seite 29

30 Bei a-squared Anti-Malware ist das Blockieren bei den Meldungsfenstern voreingestellt. Wer also immer auf OK klickt, blockiert alles was gemeldet wird. Das kann bei Fehlentscheidungen zwar momentan unangenehme Folgen haben, aber da eine Programmregel im Nachhinein immer noch geändert oder gelöscht werden kann, ist das wahrscheinlich selten wirklich tragisch. Bei der Outpost Firewall Pro ist fahrlässigerweise das Erlauben der Aktion im Meldungsfenster voreingestellt. Verbotsregeln können bei allen Programmen rückgängig gemacht werden, nur bei einem unbedachten Klick auf OK kann bei der Outpost Firewall Pro Schaden entstehen, der nicht mehr einfach rückgängig gemacht werden kann. Unbedarfte Benutzer könnten möglicherweise auch der irrigen Meinung sein, dass die Outpost Firewall Pro eine richtige Antwort auf eine Meldung voreinstellen würde, dem ist aber nicht so. Auch die fragwürdigsten und gefährlichsten Aktionen werden nach dieser Voreinstellung erlaubt, wenn der Benutzer vertrauensselig auf OK klickt. Programmverhalten Hier geht es darum, was eigentlich bei den getesteten Programmen passiert, wenn man bei einem Meldungsfenster die Wahl trifft eine Aktion zu verbieten. Dargestellt wird das Verhalten anhand des Test 5: Trojan-Downloader.Win32.Agent.npp, da diesen Test alle Programme haben. a-squared Anti-Malware Nach der Wahl der Voreinstellung (Blockieren) beim Meldungsfenster ist in der Konfiguration der Anwendungsregeln der Start der Anwendung dauerhaft blockiert. Mit der alternativen Möglichkeit Verhalten blockieren wäre nur die unsichtbare Programminstallation verboten worden und die Anwendung wäre weiter überwacht worden. a-squared Anti-Malware hat den betreffenden Prozess automatisch beendet, wie es für einen Verhaltensblocker auch üblich ist. Seite 30

31 Comodo Internet Security Abgefragt wurde beim Test 5 von Comodo Internet Security die Erstellung der Datei nso12k.sys sonst nichts. Nach der Wahl von Blockieren wurden dem Prozess jedoch alle Rechte entzogen, wie im Bild links zu sehen ist. Die Frage des Meldungsfensters stimmt also mit der folgenden Reaktion des Programms nicht überein. Bei einem Gegentest, bei dem nach dem Meldungsfenster nur die Erstellung der Datei nso12k.sys zugelassen wurde, zeigte sich das gleiche Verhalten alles wurde erlaubt, wie im Bild links zu sehen ist. Also auch die Installation des Treibers, die Erstellung der cssrss.exe und des Autostart- Eintrages und der Hooks. Es bleibt offen, ob dieses Verhalten ein Programmfehler ist oder ein verantwortungsloser Trick, um die Anzahl der Meldungsfenster zu verringern. So wie es ist, wird der Benutzer aber jedenfalls durch die Angaben des Meldungsfensters falsch informiert. Der Prozess selbst wird von Comodo Internet Security nicht beendet, er läuft im Task-Manager sichtbar weiter. Seite 31

32 Vom HIPS von werden dem Programm die Rechte entzogen, die über die Meldungsfenster verboten wurden. Auch bei läuft der betreffende Prozess im Task-Manager sichtbar weiter. Outpost Firewall Pro Das HIPS der Outpost Firewall Pro verhält sich genau gleich wie das von. Die blockierten Aktionen der Meldungsfenster werden entsprechend in der Anti-Leak- Kontrolle angezeigt. Die übrigen Einstellungen bleiben unverändert. Auch bei der Outpost Firewall Pro wird der betreffende Prozess nicht beendet und läuft im Task-Manager sichtbar weiter. Seite 32

33 entfernt nach dem Beenden und Sperren alle für das Programm greifbaren Reste der Anwendung automatisch. Dazu gehört auch das automatische Beenden des betreffenden Prozesses. subset Seite 33