Word-Trojaner wird von Virenscannern nicht immer erkannt

Der vergangenen Samstag entdeckte Trojan-Dropper Ginwui, der ein bisher unbekanntes Sicherheitsleck in Microsoft Word ausnutzt, wird von vielen Virenscannern nur in Teilen oder überhaupt nicht erkannt. Dies ergab ein Test von Andreas Marx von AV-Test am heutigen Montagvormittag mit diversen Virenscannern.

Die beiden aufgetauchten, unterschiedlichen DOC-Dateien erzeugen bei Ansicht mit Microsofts Word mehrere ausführbare Dateien und weitere Word-Dokumente. Dabei handelt es sich um ein Dokument zur Verschleierung der schädlichen Aktivitäten, das Word nach dem Programmabsturz wiederherzustellen versucht, sowie um zwei Trojaner, die sich tief ins System einnisten und dort unter anderem die Tastatur überwachen und ins Internet verbinden, um auf weitere Anweisungen des Virenautors zu warten.

Bei dem Test erkannten BitDefender, eTrust-VET, F-Secure, Kaspersky, Microsoft OneCare, NOD32 und Symantecs Antivirus alle DOC- und EXE-Dateien. Nur teilweise schafften dies AntiVir, Dr. Web, eSafe, eTrust-INO, Fortinet, Ikarus, McAfee, Panda, QuickHeal, Sophos, Trend Micro und VirusBuster. Die Virenscanner Avast!, AVG, ClamAV, Command, Ewido, F-Prot, Norman und VBA32 sind durchgefallen, da sie Ginwui überhaupt nicht erkannten.

Der Vorfall zeigt, dass ein Antivirenprogramm nur begrenzt vor so genannten Zero-Day-Attacken schützen kann. Letztlich hilft nur, bei den Anwendern immer wieder Sicherheitsbewusstsein zu schaffen – was vielen Administratoren wie ein Kampf gegen Windmühlen vorkommt. Die Antivirenindustrie versucht, mit neuen Techniken wie Behavioural Blocking gegen solche Angriffe gewappnet zu sein. Diese können jedoch auch nur Schaden begrenzen. (dmk)