Schlechte Erkennungsraten bei Polip.A-Virus

Der kürzlich entdeckte polymorphe Virus Polip.A (ehemals Polipos.A) wird von vielen Virenscannern noch immer nicht hunderprozentig entdeckt. Andreas Marx von AV-Test hat zahlreiche Virenscanner auf eine Sammlung von 494 lauffähigen Mutationen des Virus losgelassen. Die Ergebnisse sind ernüchternd.

Nur die Virenscanner AntiVir, Avast!, BitDefender, Dr. Web, Kaspersky, McAfee, Symantec, VBA32 sowie VirusBuster erkannten alle Variationen von Polip.A. Immerhin noch fast alle Samples bekamen eSafe, Nod32, Sophos, Trend Micro, F-Secure, Norman, Panda, AVG, Ikarus und QuickHeal zu fassen. In absteigender Reihung folgten die Virenscanner Command, F-Prot, eTrust-INO, eTrust-VET, und Fortinet. Die Entdeckungsrate des Ewido-Scanners ist mit 0,8 Prozent nicht einmal ein Tropfen auf dem heißen Stein; ClamAV und Microsofts Antivirus aus dem OneCare-Paket mühen sich anscheinend gar nicht erst und erkennen kein einziges Sample.

Die schnellsten Virenscanner in dem Testlauf waren Symantec, Avast!, Dr. Web, Kaspersky und AntiVir. Die restlichen Scanner, die sämtliche Samples erkannten, gingen deutlich gemächlicher zu Werke.

Polipos.A musste eine Namensänderung nach Polip.A durchmachen, da die Virenexperten von Kaspersky eine Diskussion anstießen, ob man den Namen übernehmen könne, den der Schädlingsprogrammierer vorgibt. Die anderen Antivirenhersteller folgten der Argumentation und änderten ihre Namensgebung ebenfalls.

Über die Verbreitung des Virus lassen sich derweil nur Mutmaßungen anstellen. Trend Micro hat laut seiner Statistikseite keine einzige Infektion entdeckt. Auf der Verbreitungs-Weltkarte von F-Secure ist ebenfalls kein Polip.A zu finden. Bei heise Security gingen jedoch vereinzelte Infektionsberichte ein, auch in den Kommentaren des Kaspersky-Blogs findet sich eine Anfrage eines Benutzers mit infiziertem Rechner. (dmk)