Kaspersky bessert AV-Engine nach
Mit einem automatisch verteilten Update hat Kaspersky die Probleme bei der Erkennung von Schädlingen behoben. Die Ursache lag tiefer, als es zunächst den Anschein hatte.
Mit einem automatisch verteilten Update hat Kaspersky die Probleme der Produkte aus der 2010er-Serie bei der Erkennung von Schädlingen behoben. Die Ursache lag tiefer, als es zunächst den Anschein hatte.
In einem Kurztest erkannte das neue Kaspersky Antivirus und Internet Security 2010 zunächst vier Schädlinge aus einer verbreiteten Referenzliste nicht. Dieses Problem beseitigte Kaspersky unverzüglich, indem passende Signaturen nachgereicht wurden. In weiteren Tests zeigte sich jedoch, dass weitaus mehr Schädlinge betroffen waren und nicht erkannt wurden, obwohl die Vorgängerversionen diese durchaus identifizieren konnten. Dabei stellte sich heraus, dass alle mit dem gleichen Laufzeitpacker gepackt waren. Offenbar arbeitete die Unpack-Routine der 2010er-Engine nicht korrekt, sodass der nachgeschaltete Signatur-Scan den Schädling nicht erkannte.
Zum Hintergrund: Virenautoren verpacken ihren Unrat mit sogenannten Laufzeitpackern wie UPX, FSG und ASPack immer wieder neu, um die Signatur-Erkennung von AV-Scannern auszutricksen. Diese Packer komprimieren den Code eines Programms und bauen davor eine Routine ein, die es beim Start wieder auspackt. In der Folge finden dann viele Scanner die Signatur des Schädlings nicht mehr und lassen ihn unbeanstandet passieren. Da auch normale Programme derartige Laufzeitpacker verwenden, können Antivirenprogramme auch nicht einfach jedes komprimierte Programm monieren, ohne die Fehlalarmquote hochzutreiben. c't testet deshalb bei Antivirenprogrammen bereits seit geraumer Zeit, ob sich Virenscanner mit derartigen Laufzeitpackern austricksen lassen. Die guten Scanner sind in der Lage, die Kompressionsmethode zu erkennen, das Programm auszupacken und dann den Signatur-Scan auf das Originalprogramm anzuwenden. Kaspersky erkannte beispielsweise im letzten Test rund 90 Prozent der komprimierten Schädlinge.
Magnus Kalkuhl, Senior Virus Analyst bei Kaspersky, bestätigte gegenüber heise Security jetzt, dass Kaspersky das Unpacking-Modul der 2010er-Engine korrigiert und diese neue Version im Rahmen des normalen Update-Prozesses verteilt hat. Seltsam bleibt, dass Kaspersky diesen Fehler nicht selbst bei eigenen Vorabtests des Produkts bemerkt hatte.
Siehe dazu auch:
(ju)
