Schutzbehauptung

Der letzte Test ließ vor allem eine Frage offen: Kann vielleicht einer der Nachzügler den bereits getesteten Antivirenprogrammen den Rang ablaufen? Diese Chance haben jetzt Avast! 4 Professional, CA Anti-Virus plus CA Anti-Spyware 2009, Ikarus virus.utilities, McAfee VirusScan Plus 2009, Norman Antivirus & Antispyware und Trend Micro Internet Security 2009. Das Open-Source-Projekt ClamWin entspricht zwar den Anforderungen eigentlich nicht, weil es immer noch keinen Wächter enthält. Weil das zugrunde liegende, kostenlose ClamAV trotzdem einen guten Scanner für Gateways abgeben kann, haben wir dessen Scanleistung kurzerhand außer Konkurrenz mitgetestet.

Um den Test noch spannender zu gestalten, haben wir ebenfalls zum Vergleich zwei Schutzprogramme getestet, die eher aus der Anti-Spyware-Ecke stammen und ihren Schwerpunkt auf die Verhaltenserkennung legen: A-Squared Anti-Malware und PC Tools ThreatFire Pro.

Einfache Tests von Antiviren-Software beschränken sich aufs Erbsen zählen: Man jagt die Scanner über einen möglichst großen Satz böser Dateien und schaut nach, welcher wie viele davon erkannt hat. Die guten finden fast alle, die schlechten weniger; der Unterschied spielt sich oft nur im Prozentbereich ab. Dabei wird kein einziger Schädling wirklich gestartet, kein Rootkit aktiviert, kein Web-Exploit tatsächlich im Browser geladen. Das ist dann zwar einfach umzusetzen, hat aber mit der Realität wenig zu tun. Denn die ist deutlich komplexer.

Die reale Gefahr geht von neuen Schädlingen aus, die so lange optimiert wurden, bis kein Scanner mehr anschlägt. Die werden dann über Bot-Netze via Mail verteilt oder wie neulich über die Sicherheitslücke im Internet Explorer eingeschleust – lange bevor die Hersteller Signaturen dafür gebaut haben. Erst da trennt sich die Spreu vom Weizen. Selbst wenn ein Trojaner dem Wächter zunächst durchrutscht, haben die guten Schutzprogramme eine zweite Verteidigungslinie in petto: Sie durchschauen die typischen Tricks von Rootkits und erkennen Schadprogramme an ihrem Verhalten.

Um derartige Funktionen zu testen, haben wir die Antiviren-Software in Zusammenarbeit mit AV-Test mit zehn aktiven Rootkits konfrontiert und zwanzig handverlesene Schädlinge, die zunächst nicht erkannt wurden, von Hand gestartet, um zu sehen, wie der Virenschutz reagiert. Außerdem haben wir Webseiten mit Exploits für Sicherheitslücken aufgesetzt und mit Firefox und Internet Explorer aufgerufen. Das alles ist zwar recht aufwändig, aber für einen aussagekräftigen Test unverzichtbar.

Selbstverständlich haben wir dafür auf das Erbsenzählen nicht verzichtet: An rund einer halben Million Schadprogrammen aus den letzten Monaten mussten die Scanner ihre Basisfertigkeiten beweisen. Des Weiteren mussten sie in den bewährten Tests mit alten Signaturen gegen neue Schädlinge antreten, um ihre heuristischen Fähigkeiten unter Beweis zu stellen. Darüber hinaus wurden eine ganze Reihe von zusätzlichen Funktionen überprüft, die in der großen Ergebnistabelle auf Seite 80 der c't 02/09 en Detail aufgeführt sind.

Die Tests und deren Bewertung erfolgten weitgehend analog zu dem im November, sodass sich die Ergebnisse vergleichen lassen. Um einen vollständigen Überblick über die aktuelle Produktpalette zu geben, haben wir die Ergebnistabelle auf Seite 78 der c't 02/09 nochmal abgedruckt.

Falscher Alarm

Die einzige signifikante Erweiterung betrifft das leidige Thema Fehlalarme. Da die wenigen Fehlalarme beim existierenden Testset unsere realen Erfahrungen nicht widerspiegelten, wurde ein zweites Testset mit 25 000 auf CDs und DVDs veröffentlichten Programmen erstellt und in der Tabelle dann getrennt aufgeführt.

Die Häufigkeit von Fehlalarmen ist auch schon das erste augenfällige Testergebnis. Sieben der neun Kandidaten – namentlich A-Squared, Avast, CA, ClamWin, Ikarus, McAfee und PC Tools leisteten sich mehr – teilweise sogar deutlich mehr – als zehn dieser Ausrutscher, die im besten Fall verunsicherte Anwender, im schlimmsten Fall ein zerschossenes System bedeuten können. Das ist nicht mehr akzeptabel!

Einen Mechanismus, wie es dazu kommt, illustriert ein aktueller Fall, bei dem ein Leser gemeldet hatte, dass ein einfaches Demoprogramm aus c’t zur OO-Programmierung in Delphi auf seinem Rechner einen Alarm ausgelöst hatte. Weitere Tests zeigten, dass mindestens dreizehn verschiedene Antiviren-Programme Unrat witterten. Darunter befanden sich so namhafte Hersteller wie Avast, Avira, BitDefender, G Data, F-Secure, Kaspersky, Microsoft, Eset/Nod32 und Panda. Die Schädlingsbezeichnungen zeigten, dass es sich dabei nicht um fehlgeleitete Heuristiken sondern um gezielte Signaturen für dieses Programm handelte. Wie wir später erfuhren, hatte anscheinend ein AV-Hersteller die Datei versehentlich als Schadprogramm eingestuft und mit diesem Vermerk an die anderen weitergegeben. Und die erstellten dann offenbar ohne weitere Prüfung schnell mal eben eine Signatur für den angeblichen Bösewicht.

Wie auch im letzten Test ist aufgefallen, dass ein Komplettscan nicht zwangsläufig auch bedeutet, dass alle Dateien untersucht werden. So ignorieren Avast, CA, ClamWin, McAfee und Norman bei einem Komplettscan, den ein Nicht-Administrator anstößt, stillschweigend alle Verzeichnisse, die Administratoren gehören. Zumindest ein diesbezüglicher Hinweis wäre angebracht.

Den vollständigen Artikel mit Produktbesprechungen und Testergebnissen finden Sie in c't 2/2009.

"Gegen die Virenflut"
Artikel zum Thema "Gegen die Virenflut" finden Sie in der c't 02/2009:
Antivirenprogramme im Test	S. 74
Tipps und Tools für eine sichere Systemkonfiguration	S. 82
Passwörter mit Köpfchen	S. 86

(ju)