Darf man Viren bauen?
In der Antiviren-Community gilt das Schreiben von Viren als unverzeihliches Sakrileg. Doch für aussagekräftige Tests von Antiviren-Produkten sind zumindest Experimente mit Variationen bekannter Viren unverzichtbar.
Dieses Verbot gilt in der Antiviren-Community quasi als unumstößliches Tabu. Wer dagegen verstößt, wird selbst verstoßen - er gehört fortan nicht mehr zu den "Guten". Diese an sich vernünftige Selbstbeschränkung missbrauchen Antiviren-Hersteller derzeit, um gegen unabhängige Tests zu wettern.
Aktuell wird ConsumerReports - eine Art amerikanische Stiftung Warentest - heftig kritisiert: Sie haben es gewagt, für einen Test von Antiviren-Software in großem Stil bekannte Viren zu modifizieren. Dass diese nie den Weg ins Freie gefunden haben, ficht die Kritiker dabei nicht an.
Experten von McAfee, Sophos und Kaspersky überbieten sich gegenseitig in ihrer Ablehnung des vermeintlichen Tabubruchs. Scheinheilig fragt da McAfee's Igor Muttik: "Shall we all write viruses to find the best antivirus?" und Graham Cluley von Sophos assistiert: "With over 185,000 viruses in existence was it really necessary for this magazine to create 5,000 more?". Beide merken offenbar nicht, dass sie klingen wie Mercedes-Verkäufer, die über den Elchtest klagen - schließlich gäbe es doch genug echte Unfälle, aus denen man Aussagen über die Sicherheit ihrer Autos ableiten könnte.
Selbstverständlich ist es heutzutage nötig, Antiviren-Software mit neuen Schädlingen zu testen! Denn die bereits bekannten stellen für Anwender mit Antiviren-Software keine allzu große Gefahr mehr da; die erkennen nahezu alle Produkte zuverlässig. Gefährlich sind für den Anwender hingegen die geschätzten 250 Viren, die täglich neu auf ihn einprasseln. Und bei deren Erkennung versagen viele AV-Produkte immer noch kläglich.
Es ist nämlich erschreckend einfach, einen bekannten Virus so zu modifizieren, dass er von einem Antiviren-Scanner nicht mehr erkannt wird. Mein persönliches Aha-Erlebnis hatte ich, als ich aus dem damals recht frischen I-Love-You-Virus durch einfaches Suchen und Ersetzen von Variablennamen einen "neuen Virus" erstellte, den viele Scanner nicht mehr erkannten. Regelmäßige Tests in c't mit trivialen CIH-, Optix- und RDBot-Variationen bestätigen dieses Ergebnis bis heute. Klar, dass die Antiviren-Industrie sowas nicht gern hört. Da holt man dann schon mal die Propagandakeule raus und vergleicht wie Cluley die Tester kurzerhand mit Brandstiftern.
Als Alternative zu selbsterstellten Viren preisen die Hersteller sogenannte retrospektive Tests an, bei denen Scanner mit veralteten Signaturen aktuelle Viren erkennen müssen. Dieser an sich sinnvolle Ansatz hat allerdings einen entscheidenden Nachteil: Die Virenschreiber beeinflussen die Ergebnisse. Ein typischer Virenbastler modifiziert seine neuen Versionen so lange, bis ihn die Scanner ABC und DEF nicht mehr finden. Der von ihm nicht eingesetzte Scanner XYZ hat hingegen gute Chancen, die neuen Viren auch ohne Update weiterhin zu aufzuspüren und schneidet unter Umständen allein deshalb in den Tests besser ab. Des weiteren lernt man bei solchen Tests nichts über die Funktionsweise der Programme. Nur wer es selbst versucht hat, kann realistisch einschätzen, wie schwer beziehungsweise leicht ein Virenscanner auszutricksen ist. Somit ist es unerlässlich, die Ergebnisse der Retro-Tests mit selbst erstellten Schädlingsvariationen zumindest zu verifizieren.
Natürlich ist mit dem Basteln eigener Testviren auch eine große Verantwortung verbunden. So muss man zum Einen sicherstellen, dass die neuen Schädlinge nicht ins Freie gelangen können. Zum Anderen darf es nicht darum gehen, die Virenbastler durch noch "bessere" Kreationen zu übertreffen und damit anzuspornen oder gar auf neue Ideen zu bringen.
Ob der Test von ConsumerReports tatsächlich vernünftig durchgeführt wurde, kann ich nicht beurteilen und das steht hier auch nicht zur Debatte. Ich behaupte lediglich: Das Gebot "Du sollst keine Viren bauen" ist eine sinnvolle Selbstverpflichtung der Antiviren-Hersteller, die verhindert, dass diese eine Drohkulisse aufbauen, um den Absatz ihrer Produkte zu fördern. Für aussagekräftige Vergleichstests von Antiviren-Software hingegen muss man auch mit selbst erstellten Viren-Variationen arbeiten. Wer solche Tests generell verdammt, macht das bestimmt nicht im Interesse der Anwender.
