Das Versagen der Antivirensignaturen

Symantec hatte letztens relativ offen zugegeben, dass man mit herkömmlichen Virenscannern ziemlich am Ende angekommen ist. Nur etwa 40% der Malware könnten überhaupt entdeckt werden. Trotzdem gibt es Tests, wie z.B. von av-test.org, in denen Produkte verglichen werden und Empfehlungen ausgesprochen werden. Hier erreichen diverse Produkte die 100% Marke beim Schutz gegen 0-Day Malware Angriffe. Man nennt das dann Real-World Testing.

Die reale Welt ist aber doch nicht so einfach, wie man sich das anhand von solch einem Testergebnis ausmalen könnte. Nehmen wir einfach mal irgendeine Malware, die gerade zur Hand ist.

Ah, ein lustiger ZIP-Anhang, in dem angeblich ein Fax liegen soll. Ausgepackt bekommt man eine EXE mit einem lustigen Fax-Symbol, die so manch ein unbedarfter User sicherlich auch anklicken wird. Die EXE hat ein Dateidatum vom heutigen Morgen gegen 10 Uhr, jetzt ist es 21 Uhr. Die Malware wird vermutlich seit kurz nach 10 Uhr verteilt, es besteht also die gute Hoffnung, dass die Hersteller diese schon kennen.

Leider ist dem nicht so.

Zwischenablage01

Der Upload bei Virustotal bringt einen Report, der die unschöne Wahrheit zeigt.Gerade mal 14 von 51 Virenscannern finden an der Datei etwas verdächtig und ordnen ihn der relativ bekannten Zbot Familie zu.

Viel erschreckender ist: von den AV-Test Top 10 aus April 2014 sind gerade mal fünf Produkte unter diesen 14.

Oder noch einmal verdeutlicht: die Hälfte der Top 10 Virenscanner hätten jetzt eine Infektion zugelassen, so denn nicht noch irgendwelche Cloud-Funktionalitäten eingegriffen hätten.

Nun testet Virustotal basierend auf Signaturen und Heuristik und nutzt eben nicht die Cloud-Funktionen und Verhaltensanalyse, auf die sich die Hersteller stützen. Allerdings muss man dazu auch ganz klar sagen, dass eben jene Analysen auch erst dann aktiv werden, wenn die Malware schon ausgeführt wird. Es kommt dann aber auch nicht nur drauf an, dass die Analyse zu seinem korrekten Ergebnis führt. Viel wichtiger ist, dass im Falle der positiven Erkennung die Malware auch beendet und beseitigt werden kann, ohne dass diese vorher schon Änderungen am System vornehmen konnte.

Ich nehme nicht an, dass dies eine Wissenschaft ist, bei der man 100% Testnoten erreichen kann.

Advertisements
Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Das Versagen der Antivirensignaturen

  1. SteffKo schreibt:

    Ja dann hilft nur das man seine Neugier im Griff hat und Dateianhänge von unbekannten Adressaten nicht öffnet.

  2. hans schreibt:

    „Nun testet Virustotal basierend auf Signaturen…“
    Was soll das, noch oben schreibst du das Signaturen versagen.
    Jedenfalls ist Symantecs Aussage auch darauf rückzuführen dass, sie sich von nun an auf Schadenbegrenzung spezialisieren.

    Außerdem nutzen auch Virenscanner Heuristik, und eben die Verhaltensanalyse und Cloudsicherheit sollte das verhindern, die wurde aber nicht aktiviert.

    Was du vielleicht noch vergessen hast: Virus total updatet seine Signaturen nicht in Echtzeit, ich glaub nur einmal am Tag.

    Fakt ist jedenfalls das der Virenchutz mit Signaturen dem Nutzer und seiner Dummheit nur helfen soll (Erstes Gebot: brain.exe klicken). Die meisten Leute kriegen Malware nur durch Raubkopien, und diese Plagegeister darin sind schon uralt, der AV soll sie halt eben „auf ihre Dummheit hinweisen“.
    Irgendwie verhält es sich hier wie in der Medizin. Auch da hat der Mensch es asl erster in der Hand. „Signaturen“ bzw die Verwaltung von Krankheitserregerdaten, erweist sich auch hier als nützlich.

    • Ingo schreibt:

      Ja, Virustotal testet auf Signaturbasis und genau diese Signaturen helfen nicht mehr, was Thema des Artikels ist.

      Ich bin nicht gegen Antivirensoftware an sich. Falls du das aus dem Artikel herausliest, kommt das falsch rüber. Dass Schadsoftware hauptsächlich durch illegale Software verbreitet wird, ist ein Irrglaube, der natürlich auch von den Softwarefirmen gerne verbreitet wird. Die Haupt-Einfallstore für den Normaluser sind E-Mail und Web. In den meisten Fällen sind dabei gar keine Sicherheitslücken im Spiel, sondern nur die soziale Komponente wird angesprochen.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s