Auf der Pirsch

Inhaltsverzeichnis

Das Testfeld bilden die Branchenriesen neben bekannten Spezialisten und einigen Exoten: Avast Antivirus Pro, AVG Anti-Malware, Avira Antivir Personal Edition Premium, Gdata Antivir, BitDefender, CA Antivirus Plus, ClamWin, Dr. Web, F-Secure Antivirus, Ikarus virus.utilities, Kaspersky Antivirus, McAfee VirusScan, Microsoft OneCare, NOD32, Norton Antivirus, Panda Antivirus und Trend Micro Antivirus + Antispyware. Es fehlt das in letzter Zeit häufig auf Komplettsystemen vorinstallierte BullGuard Antivirus, unter dessen Haube ein BitDefender werkelt. F-Prot, Norman und VBA32 konnten immer noch keine Vista-taugliche Antivirenlösung zum Test beisteuern und Sophos verkauft seine AV-Produkte nur an Firmenkunden.

Der zentrale Mechanismus zum Erkennen von Schad-Software ist nach wie vor das Durchsuchen von Dateien nach bekannten Zeichenketten. Die Qualität dieser Signaturerkennung messen die meisten Tests an Hand der sogenannten In-The-Wild-Virensammlung (ITW). Das ist jedoch nicht sonderlich aussagekräftig, schon weil dort die derzeit aktivste Schädlingsklasse, die der Trojanischen Pferde, komplett fehlt. Außerdem wird die Liste nur schlecht gepflegt, ist regelmäßig veraltet und mit rund 1400 Exemplaren viel zu klein. Deshalb läuft dieser ITW-Test hier nur der Vollständigkeit halber mit, fließt aber nicht mehr in die Bewertung ein.

Dass Avast und Kaspersky in dieser Disziplin patzten, weil zwar der On-Demand-Scanner alle ITW-Schädlinge erkannte, der Hintergrundwächter aber jeweils eine Datei übersah, deutet auf ein Problem bei der Qualitätssicherung hin. Bei Kaspersky liegt das wohl an einem Kompromiss zwischen dem besonders schnellen Bereitstellen von Signaturen und deren Überprüfung. Richtig daneben griffen allerdings ClamWin und der Neuling im Test, Dr. Web, mit 25 beziehungsweise 7 nicht erkannten Exemplaren.

Für unseren eigentlichen Signaturtest mussten sich die AV-Programme in den Labors von AV-Test (www.av-test.de) an einer Sammlung von mehr als einer Million Würmern, Backdoors, Bots und Trojanern beweisen. Es handelt sich dabei ausschließlich um Schädlinge, die in den vergangenen sechs Monaten tatsächlich aktiv waren; ausgestorbene Saurier aus DOS-Zeiten tauchen nicht auf.

Dabei ist eine möglichst hohe Erkennungsrate wünschenswert, auch wenn angesichts der schieren Menge kein Scanner alles finden kann. Immerhin kamen die Produkte von Avira und Gdata diesem Ideal mit beeindruckenden Erkennungsraten von über 99 Prozent schon recht nahe. Die für eine Benotung mit sehr gut erforderlichen 95 Prozent schafften sogar vier weitere Produkte: Avast, AVG, BitDefender und Ikarus. Neben den bereits negativ aufgefallenen ClamWin und Dr. Web blamierte sich bei diesem Test vor allem CA Antivirus mit einer Erkennungsquote von gerade mal 55 Prozent, die sicher keinen ausreichenden Schutz mehr bietet.

Erfreuliches förderte auch der Test mit knapp 25 000 Ad- und Spyware-Programmen zu Tage. Darunter verstehen die Hersteller Software, die vertrauliche Benutzerdaten ausspäht oder Benutzerprofile anlegt und ins Netz versenden kann. War es früher erforderlich, sich vor solchem Unrat mit spezieller Anti-Spyware-Software zu schützen, haben die AV-Hersteller mittlerweile Signaturen für diese Kategorien in ihre Produkte integriert. Insbesondere die bereits bei den Tests mit dem Viren-Zoo positiv aufgefallenen Produkte schnitten auch im Spyware-Test sehr gut ab. Besonders negativ fiel wiederum CA, aber auch Norton Antivirus auf.

Ebenfalls positiv für das Gesamtbild wirkt sich noch aus, dass die Hersteller die Update-Frequenzen und auch die Reaktionsgeschwindigkeiten erhöht haben. Gdata, Softwin und Kaspersky bilden hier die Spitzengruppe. Nur bei CA, McAfee und Microsoft mussten die Kunden im Schnitt länger als 12 Stunden als beim jeweils schnellsten Konkurrenten auf Signaturen warten. Es fällt auf, dass Microsofts Updates sogar über einen Tag Verspätung hatten, und sich die Redmonder damit rund doppelt so viel Zeit ließen, wie der nächste Konkurrent.

Ich seh was, was du nicht siehst

Warum allerdings selbst signaturbasierte Erkennungsraten über 99 Prozent und kurze Update-Intervalle den Rechner nicht ausreichend sichern, verdeutlicht ein kleines Rechenexempel. Angenommen, ein Hersteller schafft es, innerhalb von einer Stunde nach dem ersten Auftauchen eines Online-Banking-Trojaners passende Signaturen zu erstellen, zu testen und an seine Kunden auszuliefern. Auf der anderen Seite erfolgt jedoch die Verbreitung der Schadsoftware über ein kleines Bot-Netz mit circa 10 000 aktiven Zombies. Jeder von denen kann etwa alle drei Sekunden eine E-Mail verschicken - also über tausend in einer Stunde. Somit erreichen die Bot-Netz-Betreiber bis zu 10 Millionen Opfer, noch bevor die erste Signatur draußen ist. Auch wenn man über die einzelnen Zahlen durchaus diskutieren kann, wird das Prinzip klar: Signaturen kommen im Zweifelsfall zu spät.

Um auch bis dato unbekannte Schädlinge zu erkennen, arbeiten die AV-Hersteller mit heuristischen Methoden. Diese spüren beispielsweise typische Code-Sequenzen in Programmen auf oder reagieren mit Warnungen auf Packroutinen, die bevorzugt von Viren-Autoren verwendet werden. In unserem Test mussten die Scanner diese heuristischen Fähigkeiten unter Beweis stellen, indem sie mit veralteten Signaturen neue Viren erkennen - ein nach dem oben skizzierten Rechenexempel durchaus realitätsnaher Ansatz.

In dieser Disziplin sind die ersten unerfreulichen Ergebnisse zu vermelden. Die Scanner schnitten nämlich fast durch die Bank schlechter ab als noch vor einem Jahr. Selbst der Heuristik-Primus NOD32 sackte von 78,5 auf 68 Prozent ab; die typischen Erkennungsraten lagen bei mageren 20 bis 30 Prozent im Vergleich zu 40 bis 50 Prozent beim letzten Test.

Diesen bedenklichen Trend bestätigten auch unsere Tests mit Viren-Variationen. Dort testeten wir, wie schwer es ist, einen Viren-Scanner auszutricksen, indem man einen Schädling leicht verändert. Diese Modifikationen reichten von der Wahl exotischer Einstellungen in Virenbaukästen oder Exe-Packern bis hin zu einfachen Änderungen am Quellcode, wie sie jeder mit Grundkenntnissen der Programmierung vornehmen könnte, und anschließendem Neuübersetzen. Erkannten dabei im letzten Test die guten Scanner deutlich über 80 Prozent aller Variationen, BitDefender sogar über 95, spürte diesmal Norton als bester gerade mal noch 76 Prozent auf. Im Durchschnitt sanken auch hier die Quoten um 10 bis 20 Prozent - bei denselben Viren wohlgemerkt.

Rettungsanker

Das grundsätzliche Problem, dass signaturbasierte Erkennung eigentlich nicht mehr so richtig funktioniert und die unscharfen Heuristiken prinzipbedingt nicht ausreichend zuverlässig arbeiten, ist seit einigen Jahren bekannt. Der Ausweg aus dem Dilemma ebenso: Durch Überwachung des Systems soll der Virenwächter auch bislang unbekannte Schadsoftware an ihrem Verhalten erkennen. Bei einer Häufung verdächtiger Aktivitäten warnt er den Anwender und bietet an, das möglicherweise schadhafte Treiben zu unterbinden oder sogar nachträglich rückgängig zu machen. Dieses „Behavioural Blocking“ findet sich mittlerweile auch in vielen Produktbeschreibungen.

Der konkrete Test lieferte jedoch eher enttäuschende Ergebnisse. So überzeugte einzig F-Secures Behavioural Blocker DeepGuard, indem er alle zwölf Schädlinge erkannte und bei den meisten auch tatsächlich eine Infektion erfolgreich verhinderte. Daneben haben noch Kaspersky und BitDefender Schädlinge am Verhalten erkannt, konnten aber nur in wenigen Fällen eine Infektion des Systems unterbinden.

Andere Hersteller wie McAfee, Gdata, Norton, Microsoft und im Großen und Ganzen auch Trend Micro beschreiten den einfacheren Weg und überlassen die Begutachtung des Verhaltens dem Anwender. Das erinnert dann sehr an Meldungen aus den Anfängen der Personal Firewalls: „Programm XYZ will irgendwas machen - wollen Sie das gestatten?“ Der Haken dabei: Das bezieht sich fast immer auf einzelne Aktivitäten wie das Setzen eines Autostart-Eintrags in der Registry. Selbst wenn der Anwender dies verbietet, ist der Schädling nicht automatisch schon gestoppt; oftmals bleiben andere Teile weiterhin aktiv. Außerdem tauchen diese Warnungen dann auch häufig bei der Installation harmloser Programme auf. Ein gut verpacktes Trojanisches Pferd, beispielsweise als Video-Codec getarnt, wird man so nicht aufhalten können, denn der Anwender ist ja bereit, das Programm zu installieren.

Diese Ergebnisse bestätigten dann auch unsere Tests mit einfachen, aus existierenden Code-Fragmenten selber zusammengewürfelten Keyloggern, die heimlich alle Tastatureingaben des Anwenders mitprotokollieren. Die unterschiedlichen Versionen installieren sich einmal in der Registry als Autostart, einmal als Kernel-Treiber, einmal als Dienst und eine letzte Variante nimmt zusätzlich Verbindung mit einem IRC-Server auf.

Auch hier lieferten nur die Verhaltensblocker von F-Secure, Kaspersky und BitDefender brauchbare Ergebnisse. F-Secure erkannte alle Keylogger als Anwendungen mit hohem Risiko und lieferte ein Rating dazu. Kaspersky meldete die Installation von verdächtigen Treibern, die generische Trojanererkennung bemerkte das Anlegen neuer Dateien und deren Registrierung als Autostart beziehungsweise als Dienst. BitDefenders B-Have erkannte alle Keylogger bis auf den Kernel-Logger am Verhalten.

Gdata, McAfee und Trend Micro erkannten nur die Registry-Änderungen des ersten Keyloggers. Bei NOD32 und OneCare schlug die heuristische Erkennung beim ersten Keylogger an, der sich in die Autostarts der Registry einträgt. Die anderen Wächter schöpften gar keinen Verdacht.

Versteckspiele

Obwohl auch immer mehr Schädlinge Rootkit-Techniken einsetzen, um ihre Anwesenheit im System zu verschleiern, sind nur wenige Antivirenlösungen darauf ausreichend vorbereitet. Lediglich F-Secure, Norton und Panda konnten alle getesteten Rootkits im aktiven Zustand aufspüren und entfernen, obwohl dabei nur seit Jahren verfügbare Demo-Rootkits zum Einsatz kamen. Dass AVG nur inaktive Rootkits erkannte, ist inakzeptabel - auch wenn Grisoft ein eigenständiges Anti-Rootkit-Werkzeug anbietet. Auch ClamWin, Dr. Web, Ikarus, McAfee und Microsofts OneCare hatten Rootkits nahezu nichts entgegenzusetzen.

Gerade beim Verdacht auf einen Rootkit-Befall macht sich eine Rettungs-CD bezahlt, von der aus man ein sauberes System booten und anschließend einen System-Scan ausführen kann. Doch die sparen sich immer noch viele Hersteller. Und von der Symantec-CD startet nach wie vor ein DOS mit einem Virenscanner und Signaturen aus dem Jahr 2002; Panda liefert eine Linux-CD aus, die auf NTFS-Partitionen nur lesend zugreifen kann.

Eine andere Technik, sich an Virenscannern vorbeizumogeln, setzt auf Archivdateien, die die Scanner nicht öffnen können. Mit etwas Geschick manipulieren dabei Angreifer die Verwaltungsinformationen zum Beispiel in einer ZIP-Datei derart, dass der Virenscanner sie nicht mehr auspacken kann, die typischerweise auf einem Windows-PC eingesetzten Tools jedoch sehr wohl. So kann ein Schädling beispielsweise der Erkennung auf dem Mail-Gateway entgehen.

Die Robustheit der einzelnen Scanner gegen solche Evasion-Techniken testeten wir mit 28 speziell präparierten Archiven in den Formaten .rar, .zip und .cab, die uns Thierry Zoller von n.runs zur Verfügung stellte. Sie ließen sich mit Standardprogrammen wie dem in Windows integrierten ZIP, WinZIP, WinRar oder 7zip entpacken. Doch nur Gdata und F-Secure erkannten die versteckten Viren in allen modifizierten Archiven.

Ähnlich kann man auch Schadcode, der Schwachstellen in Web-Browsern ausnutzt, an den Virenwächtern vorbei mogeln. Seit Jahren ist bekannt, dass der Internet Explorer gewisse Steuerzeichen in HTML-Seiten komplett ignoriert. So kann ein Angreifer seinen Exploit beispielsweise mit NULL-Bytes anreichern, damit die Signaturen der Wächter nicht mehr passen. Eine Seite von heise Security demonstriert diese Technik seit 2005 mit zwei Demo-Exploits für alte IE-Lücken, die sehr häufig eingesetzt werden, um Besuchern von Webseiten Schadcode unterzujubeln. Der Trick mit den eingestreuten NULL-Zeichen funktionierte mit allen Virenwächtern bis auf BitDefender. Die anderen warnten zwar bei Aufruf der Originalseite, ließen sich aber durch NULL-Zeichen ablenken, obwohl die Demos voll funktionsfähig sind.

Vista im Test

In diesem Jahr fanden erstmals alle Tests unter Windows Vista statt. Im Großen und Ganzen ergaben sich daraus keine Probleme; die meisten Hersteller haben die Umstellung ihrer XP-Produkte erfolgreich vollzogen. Einzig das neue Rechte-Modell, bei dem sich ein Scanner beispielsweise für einen Komplettscan des Systems die dafür notwendigen Rechte via UAC-Prompt besorgen muss, bereitet gelegentlich Schwierigkeiten.

So muss man AVG und CA Anti-Virus von Hand mit Administratorrechten starten, um wirklich alle Dateien in den Scan mit einzubeziehen. Ansonsten übergeht der Scanner stillschweigend die Profilverzeichnisse anderer Nutzer. F-Secure geht sogar noch einen Schritt weiter und ignoriert die, selbst wenn es die notwendigen Rechte hat. Erst wenn man in ein fremdes Verzeichnis wechselt und den dabei eventuell auftauchenden UAC-Prompt bestätigt, kann man es auch scannen. Bei Avast, Dr. Web und Gdata muss der Anwender für spezielle Operationen einen UAC-Prompt abnicken beziehungsweise als eingeschränkter Nutzer das Admin-Passwort eingeben.

Zusätzlich haben wir aber die Funktion der Produkte auch unter Windows XP geprüft. Dabei zeigten sich erfreulicherweise kaum Unterschiede. Es ist allerdings damit zu rechnen, dass sehr systemspezifische Funktionen wie Behavioural Blocker und Rootkit-Suche in Einzelfällen unter Windows XP andere Ergebnisse erzielen.

Allerlei

Antiviren-Software muss eine Balance zwischen hoher Erkennungsrate und niedriger Fehlalarmquote finden. Unsere Tests mit 20 000 sauberen Dateien bestätigten unseren subjektiven Eindruck, dass im letzten Jahr die Zahl der fälschlich als Schadsoftware erkannten Dateien deutlich gestiegen ist. Kamen beim letzten Test immerhin noch zwei Programme ganz ohne und vier mit nur einem Fehlalarm aus, erreichte dieses Jahr Norton Antivirus mit einem das Minimum. Werte über 10, wie sie Gdata, BitDefender, ClamWin, Dr. Web, F-Secure, Ikarus und McAfee produzierten, zeigen, dass die Reise derzeit in die falsche Richtung geht.

Um zu messen, wie viel langsamer ein Rechner durch den Virenschutz wird, wurden zwei Tests durchgeführt: Zum einen musste der Scanner knapp 8000 Dateien mit insgesamt 741 MByte auf Viren überprüfen. Um den Hintergrundwächter zu messen, kopierten wir außerdem die Dateien auf der lokalen Festplatte, was ohne Wächter 47 Sekunden dauerte. Da die Messungen auf der gleichen Hardware wie beim letzten Test stattfanden, sind die Zahlen direkt vergleichbar. Dabei fällt auf, dass mit Ausnahme von BitDefender alle Produkte deutlich langsamer zu Werke gingen als noch beim letzten Test. So dauerten die Kopieraktionen bei CA, Ikarus und Kaspersky rund doppelt so lange.

Ein Teil dieser Performanceeinbußen lässt sich dabei wohl auf die Tatsache zurückführen, dass der Test beim letzten Mal unter Windows XP durchgeführt wurde, während dieses Mal auf den Testsystemen Vista Ultimate installiert war. Die stark angestiegene Zahl von Signaturen tut ein übriges. Als überdurchschnittlich flott erwies sich NOD32 und auch Avast, AVG, Antivir, Ikarus, OneCare, Norton, Panda und Trend Micro bremsten vergleichweise wenig. Auf der anderen Seite der Skala fällt auf, dass insbesondere F-Secure mit seinen vier Scan-Engines das System gehörig ausbremste, aber auch Gdata und Kaspersky sorgten für deutlich verlängerte Wartezeiten beispielsweise beim Kopieren ganzer Ordner.

Die meisten Virenwächter klinken sich transparent in den Netzwerkverkehr der Mail-Programme ein und scannen empfangene beziehungsweise verschickte E-Mails. Diesen Schutz sollte man bei seiner Entscheidung für oder gegen ein Produkt allerdings nicht zu hoch bewerten, denn selbst wenn er fehlt, schlägt der Wächter spätestens Alarm, wenn man einen Mail-Anhang auf der Festplatte speichert oder öffnet. Außerdem scheitert der Schutz ohnehin, sobald man eine verschlüsselte Verbindung verwendet.

Zu einem ernsthaften Problem entwickelt sich die mangelhafte Codequalität der Antiviren-Software. Im Jahr 2007 wurden kritische Sicherheitslücken in nahezu allen namhaften AV-Produkten entdeckt, die ein erschreckendes Bild auf die Gepflogenheiten der ganzen Branche werfen (siehe: Antiviren-Software als Einfallstor, www.heise.de/security/artikel/99749). Für diesen Test haben wir die Hersteller auch nach ihren Vorkehrungen befragt, die sicherstellen sollen, dass dies nicht so weiter geht. Die wenigen Antworten ließen sich nicht systematisch auswerten und erst recht nicht überprüfen. So muss dies vorerst als offene Frage und ungelöstes Problem im Raum stehen bleiben.

Den vollständigen Artikel finden Sie in c't 01/2008.

Soft-Link

"Der beste Virenschutz"
Artikel zum Thema "Der beste Virenschutz" finden Sie in der c't 01/2008:
17 Antivirus-Programme für Windows	S. 92
Sicher arbeiten ohne Systembremse	S. 104

(dmk)