Seite 4: Testfeld

Inhaltsverzeichnis

Testfeld

Von den insgesamt 19 Virenscannern im Test bringen immerhin neun ganz offiziell Wächterfunktionen mit. Drei (Alwil Avast! 4, H+BEDV AntiVir und ClamAV) verwenden dafür Dazuko, können also den gesamten Dateibestand eines Servers im Auge behalten; Computer Associates eTrust Antivirus, Kaspersky Antivirus und Trend Micro ServerProtect nutzen proprietäre Kernelerweiterungen. Drei Virenwächter (Sald Dr. Web, Frisk F-Prot und GeCAD RAV Antivirus) arbeiten mit Samba zusammen, berücksichtigen also "nur" die Windows-Seite.

Bei dreien der zehn als reine Scanner angebotenen Programme (OpenAntivirus VirusHammer, Sophos Anti-Virus und Symantec Antivirus) lässt sich die Samba-Überwachung von Hand nachrüsten, ohne dass der Hersteller darum Aufhebens macht -- der vscan-Support für Symantec gilt allerdings noch als Alpha-Version und nicht für den Produktivbetrieb geeignet. Auch die Virenjäger von Kaspersky und Trend Micro lassen sich statt mit den Kernelmodulen der Hersteller über samba-vscan einbinden. Bei den übrigen sieben Produkten handelt es sich um reine On-Demand-Scanner.

Zwei der Testteilnehmer -- Clam Antivirus und OpenAntivirus VirusHammer - sind als Open Source unter der GPL verfügbar, Softwin BitDefender kann man als Freeware "für Arbeitsstationen" herunterladen, die getesteten Beta-Versionen von Ikarus-Pscan und Alwils Avast! 4 stehen ebenfalls als Gratis-Download zur Verfügung. Einige andere Anbieter erlauben eine kostenlose private Nutzung oder bieten zumindest eine Evaluationsversion zum Download an.

Ansonsten sind die Preismodelle relativ ähnlich. Im Allgemeinen beinhaltet der Kaufpreis, häufig noch differenziert nach dem Einsatz auf Servern oder Workstations, ein Jahr kostenlose Updates der Virensignaturen. Einige Serverprodukte sind nach der Zahl der User auf dem Server zu bezahlen. Der in der Tabelle genannte Update-Preis bezieht sich auf ein weiteres Jahr Versorgung mit Virensignaturen, dabei kann auch eine neue Programmversion enthalten sein.

Vier weitere auf dem Markt angebotene Produkte haben am Test nicht teilgenommen: Vexira Anti-Virus vom amerikanischen Hersteller Central Command entspricht bis auf den Schriftzug "Vexira" dem aus Deutschland stammenden AntiVir von H+BEDV. Command AntiVirus und Eset NOD32 arbeiten an neuen Versionen -- der Test der alten ergibt keinen Sinn. Die englische Fassung von MKS_VIR konnte der polnische Hersteller nicht rechtzeitig liefern.

Parcours

Alle Produkte hatten im reinen Scannerbetrieb 594 Datei-, Makro- und Skript-Viren sowie 20 Boot-Viren, die Ende Mai 2003 in freier Wildbahn verbreitet waren (ITW, "in the wild"), zu erkennen. Produkte mit Wächterfunktion hatten diesen Test einmal als Scanner, einmal als Wächter zu absolvieren. Dabei zeigten sich keine Unterschiede in der Erkennungsrate.

Nur noch im Scannerbetrieb haben wir geprüft, wie gut die Produkte Schädlinge aufstöbern, wenn sie in verschiedenen Formaten verpackt sind. Dabei standen sowohl Packformate wie ZIP, TAR und RAR als auch laufzeitkomprimierte Programme (ausführbare Dateien, die ihren Code erst nach dem Laden in den Speicher entpacken) der Windows- und DOS-Welt in mehreren Formaten auf dem Programm.

Ferner mussten alle Produkte in einem weiteren Prüflauf zeigen, wie gut die Erkennungsleistung in eingebetteten MS-Office-Dokumenten (OLE-Dateien, beispielsweise eine in eine Excel-Tabelle eingebettete infizierte DOC-Datei) ist und ob sie auch passwortgeschützte Dateien aus der Microsoft-Office-Welt prüfen. Bei all diesen Tests kam ausschließlich virulentes Material zum Einsatz, das in der Windows-Welt typisch ist. Insgesamt entsprach das Testmaterial dem des Tests von Antivirenprogrammen für Windows in c't 9/03 [1].

Je für einfache Scanner und Wächter haben wir des Weiteren ermittelt, wie lange es dauert, insgesamt 600 MByte an Dateien zu scannen. Darin steckten außer unbedenklichen Daten zu rund drei Prozent auch Dateien aus unserer Sammlung für False-Positives -- also Dateien, die nachweislich keine Schadfunktion mitbringen, aber schon mal den einen oder anderen falschen Alarm ausgelöst haben.

Zu guter Letzt konfrontierten wir die On-Demand-Scanner aller Produkte mit einer Auswahl von 532 Dateien mit Linux-Schädlingen wie Bliss (der erste Linux-Virus überhaupt), einigen Rootkits und (Apache-)Würmern sowie Standardviren wie Ramen oder OSF. Der Rückgriff auf eine in-the-wild-Liste der in Umlauf befindlichen Viren wie bei Windows ist hier nicht möglich, da derzeit keine Linux-Viren in nennenswerter Zahl kursieren. Dennoch lassen die Ergebnisse gewisse Rückschlüsse darauf zu, wie sich die Programme mit Malware außerhalb des gerade aktuellen Schädlingsspektrums schlagen.

Alle Tests liefen mit den Programmversionen von Ende Mai, die wir mit den Updates versahen, die am 2.6.2003 verfügbar waren -- ein solcher Test braucht einfach seine Zeit. Die vier kommerziellen Hersteller, deren Produkte nicht alle ITW-Viren erkannten, baten wir um ein Update. H+BEDV, Ikarus und Norman sandten uns aktualisierte Versionen ihrer Programme, die in einem - nicht gewerteten -- Nachtest alle ITW-Schädlinge erkannten. Lediglich Softwin BitDefender patzte auch nach dem Update. Auch die beiden Open-Source-Scanner erkannten nur einen Teil der ITW-Malware, hier waren keine aktualisierten Versionen verfügbar.

Installationsquerelen

Die Zeiten, in denen die Installation von Software auf Linux-Systemen noch eine Geheimwissenschaft war, sind zwar vorbei. Doch trotz leistungsfähiger Paketmanager und einer einfachen und sicheren Installation bei vielen Produkten gelang es nicht, die Testplattform komplett zu vereinheitlichen -- zu verschieden waren die angelieferten Installationsdateien.

Die Installation der Produkte haben wir auf vier verschiedenen Linux-Distributionen getestet: Debian GNU/Linux 3.0 (Woody), SuSE Linux Professional 8.2, SuSE Linux Enterprise Server 8 und Red Hat Linux 9. Auch hier spielten wir alle Updates ein, die zum 2. 6. verfügbar waren. Zwei Programme sind wählerischer, so verlangt eTrust Antivirus nach SuSE 8.0 beziehungsweise Red Hat 7.3. Trend Micro Server Protect benötigt Red Hat 7.2. Diese Sonderwünsche haben wir erfüllt.

Für die eigentlichen Tests haben wir alle Produkte, die als Debian- oder tar-Archiv erhältlich waren, auf Debian 3.0 (Woody) getestet. Produkte, die der Hersteller nur als RPM-Paket zur Verfügung stellt, mussten auf SuSE Professional 8.2 antreten. Lediglich bei den wenigen Produkten, die explizit eine spezielle Distribution in bestimmter Version verlangten, haben wir uns an die Herstellervorgabe gehalten.

Enttäuschend fällt die Integration vieler Produkte in eine bestehende Installation aus: Nicht jedes bringt eine Referenz in Form der Unix-üblichen man-Pages mit. Manchmal muss man bei der mitinstallierten Auto-Update-Funktion nacharbeiten, in seltenen Fällen sogar bei der Programminstallation, bis alles vernünftig läuft. Häufig entsteht der Eindruck, als hätten die Entwickler die Windows-Software nur unvollständig an die Gegebenheiten unter Linux angepasst.

Einige Produkte bringen außer den typischen Steuerungsmöglichkeiten über Aufrufparameter und Konfigurationsdateien ein eigenes grafisches Frontend mit. Manche belegen ihre Windows-Herkunft, indem sich ausschließlich mit dem Frontend eine binäre Konfigurationsdatei bearbeiten lässt. Andere geben sich postmodern und erlauben eine Konfiguration via Webbrowser. Die Anforderungen, die damit einhergehen, etwa Java oder ein Web-Server vom Kaliber Apache erscheinen für diesen Zweck allerdings gelegentlich etwas überzogen.

Spezialitäten

Eine ganze Reihe von Fähigkeiten einzelner Produkte bleiben in diesem Test unberücksichtigt: Das Erstellen von Prüfsummen für den zu prüfenden Datenbestand etwa halten wir für wenig sinnvoll. Die Prüfsumme schlägt schließlich bei jeder Änderung einer Datei Alarm und ist daher nur für Datenbestände geeignet, die sich nur selten ändern -- Programme beispielsweise oder Archive, auf die nur lesend zugegriffen wird. Mancher Scanner kennt Optionen, um die von Linux geführten Zeitstempel der untersuchten Dateien zu setzen: Wenn der Scanner eine Datei prüft, ändert sich ihre Access-Time (atime) -- Backup- oder Archivier-Programme benutzen diesen Wert, um über die Notwendigkeit einer Sicherung zu entscheiden. Die Scanner, die die atime auf den ursprünglichen Wert zurücksetzen, ändern jedoch alle die ctime, die Zeit, in der Linux die letzte Änderung der Verwaltungsinformationen des Inode -- darunter eben auch die atime - festhält. Das wiederum kann ein Backup durcheinander bringen, das die ctime als Kriterium benutzt. Verwendet man eine solche Option, sollte man sich dieser Probleme zumindest bewusst sein.

Manche Produkte versuchen dem Käufer das Selbstübersetzen von Kernel-Zusätzen abzunehmen und liefern fertig übersetzte Module. Das hat den Nachteil, dass sie nur eine kleine Teilmenge der derzeit gängigen Linux-Varianten abdecken und mitunter schon ein vom Distributor aktualisierter Kernel dafür sorgt, dass die Wächterfunktionen versagen. Besonders gefährlich ist es, wenn sich das Modul zwar ohne Fehlermeldung laden lässt, aber -- ohne Hinweis an den Administrator -- nicht arbeitet.

Einzelne Hersteller bieten passend zu ihren Server-Lösungen abgestimmte Client-Software an. Die kann mit einem zentralen Scan-Server im Netz arbeiten, sodass der Pflegeaufwand je Client denkbar gering ausfällt. Andere Hersteller liefern zentrale Logging- und Alarmfunktionen. Letztlich gilt hier allerdings -- mehr noch als für die auf den Scannern aufbauenden Fertigprodukte für die diversen Einsatzbereiche -, dass man die Angebote kaum vergleichen kann. Im Zweifelsfall dürfte die Entscheidung für oder gegen ein Produkt so oder so davon abhängen, wie gut die Erkennungsqualitäten sind.

[.. Details zu den einzelnen Produkten finden Sie im Original-Artikel in c't 18/2003 S. 146]