Test von portablen Trojaner-, Ad- und Spywarescannern – Teil 2:
In diesem Testbericht habe ich mehrere portable Trojaner-, Ad- und Spywarescanner einem Test unterzogen.
Wichtige Erklärungen und die Vorstellung aller hier getesteten Trojaner-, Ad- und Spywarescanner finden Sie in folgendem Bericht --> http://www.security-dome.eu/U3-Universelle_Prevention_Trojan-Ad-Spyware_Scanner-Teil3.html
Eine bereits veröffentlichte Gegenprüfung fand mit portablen, aber auch lokal installierten Virenscannern statt. Die Vorstellung aller portablen und U3-Virenscanner finden Sie in meinem Bericht --> http://www.security-dome.eu/U3-Universelle_Prevention-Virenscanner_Teil2.html
Der Testbericht zur Erkennungsrate aller portablen und lokalen Virenscanner finden Sie hier --> http://www.security-dome.eu/Mobile_Virenscanner_Test-1.html
Themen dieses Berichts (was Sie erwartet):
Allgemein
Wichtig --> Was dieser Test nicht aussagen soll / Was dieser Test aussagen soll / Tipp / Copyright
Testumgebung --> Plattformen / Durchführung / Ordner / Benutzerkonten / Malware Archiv#1 (33 Dateien) / Malware Archiv #2 (85 Dateien)
Trojaner-, Ad- und Spywareprogramme --> Wichtig
Tabelle Erklärungen --> Spalte 1 / Spalte 2 / Spalte 3 / Spalte 4 / Spalte 5 / Spalte 6 / Spalte 7 / Spalte 8 / Spalte 9 / Spalte 10
Tabelle
Empfehlung --> Weitere nennenswerte Produkte
Zusammenfassung --> Lokale gegen portable Version / Schwarz & Weiss / Die Besten
Interne Links
Externe Links
Allgemein:
Sehr oft haben wir uns im securITy-dome.eu Forum gefragt, ob die Unterscheidung zwischen Trojanerscanner, Ad- und Spywarescannern und Virenscanner noch ihre Berechtigung haben. Oder sind die Grenzen der Erkennung mittlerweile ebenso fliessend, wie sie von den Angreifern und Malware-Autoren praktiziert wird.
Wie sind also die Erkennungsraten dieser verschiedenen Produktkategorien? Dieser Frage bin ich jetzt auf den Grund gegangen und habe die Erkennungsraten getestet.
Für diesen Test wurden mehrere Malware-Dateien an verschiedenen Stellen des Systems versteckt. Die Prüfung fand dabei auf verschiedenen Plattformen statt.
Wichtig:
Was dieser Test nicht aussagen soll:
Dieser Test soll NICHT als Alternative oder gar Ersatz zu lokal installierten Anti-Malwarescannern verstanden werden!
Was dieser Test aussagen soll:
Dieser Test soll ein Vergleich der Funktionen und Erkennungsraten von portablen Trojaner-, Ad- und Spywarescannern sein. Er ist dazu gedacht, lokal installierte Anti-Malwarescanner zu ergänzen, bzw. als „zweite Meinung“ bei einem Malware-Fund zu dienen.
Ich möchte mich mit diesem Test ganz deutlich von dem „Konkurrenzgedanken“ distanzieren! Vielmehr soll gezeigt werden, das eine vernünftige Kombination von verschiedenen Produkten die Sicherheit erhöht!
Ausserdem sollen die getesteten Produkte dazu dienen, z.B. auf Fremdsystemen eine aussagekräftige Analyse / Entfernung von Malware zu liefern. Als Referenz und Hintergrundgedanke lesen Sie bitte den Bericht --> http://www.security-dome.eu/__U3-Universelle_Auditing-und_Preventionlosung__.html
Tipp:
Für ein bestmögliches Ergebnis achten Sie darauf, die portablen Trojaner-, Ad- und Spywarescanner mit administrativen Rechten auszuführen!
Copyright:
Dieser Test hat mich viele Wochen Arbeit gekostet, da alle Tests mehrfach unter verschiedenen Voraussetzungen gemacht wurden. Deshalb sind teilweise oder komplette Veröffentlichungen aus diesem Bericht nur mit meiner schriftlichen Genehmigung erlaubt. Beachten Sie deshalb bitte mein Copyright am Ende des Berichts!
Testumgebung:
Plattformen:
Es wurden mehrere unterschiedliche Plattformen aufgebaut:
virtuelle Maschine mit Windows Vista Ultimate
Rechner mit Windows XP Professional SP2
Laptop mit Windows Vista Ultimate 32bit
virtuelle Maschine mit Windows XP Professional SP2
Durchführung:
Soweit möglich wurden folgende Einstellungen in der entsprechenden Trojaner-, Ad- und Spywarelösung vorgenommen:
1 mal komplette Prüfung des Systemlaufwerks mit jeder Trojaner-, Ad- und Spywarelösung – weitere Prüfungen fanden in den betroffenen Ordnern statt
gefundene Malware löschen (wenn Funktion vorhanden)
gefundene Malware in Quarantäne verschieben (wenn Funktion vorhanden)
Systembereiche prüfen
Arbeitsspeicher (laufende Prozesse) prüfen
Ordner:
Die verschiedene Malware des Archivs#1 wurde in unterschiedlichen Ordnern abgelegt, um die Funktionsweise unter unterschiedlichen Berechtigungen zu prüfen. Folgende Ordner waren betroffen:
Programme (Systemverzeichnis mit NTFS-Schreibberechtigung für die Gruppe der Administratoren)
AV-Test (normaler Ordner mit NTFS-Schreibberechtigung für die Gruppen Administratoren und Benutzer)
Die verschiedene Malware des Archivs#2 wurde in einem Ordner mit NTFS-Schreibrechten für Administratoren und Benutzer abgelegt. Hier wurde ein *.rar Archiv mit allen Malware-Dateien angelegt, um die Unterstützung von Archiven zu prüfen. Das *.rar Archiv war dabei unter anderem auch mehrfach gepackt.
Benutzerkonten:
Unter Microsoft Windows Vista und XP wurde jede Prüfung unter einem Administratorkonto ausgeführt. Die Ausführung unter einem normalen Benutzerkonto ist nicht empfehlenswert, da weitreichende Schreibberechtigungen zum Desinfizieren von Malware für die portablen Trojaner-, Ad- und Spywarescanner fehlen würden. Ebenso sind die Leseberechtigungen teilweise eingeschränkt, so dass ein Test wenig Aussagekraft hätte.
Durch die Besonderheit der UAC (User Account Control) unter Microsoft Windows Vista wurden die Trojaner-, Ad- und Spywareprogramme (soweit möglich) noch explizit unter administrativen Rechten ausgeführt, wenn sie nicht automatisch von der UAC erkannt wurden --> rechtsklick auf das Trojaner-, Ad- und Spywareprogramm --> „Als Administrator ausführen“.
Malware Archiv#1 (33 Dateien):
Folgende Malware wurde auf dem System verteilt (jeder Ordner hatte eine Kopie der gleichen Malware):
Eicar Testfile (normal, einfach gepackt, doppelt gepackt) = 3 Dateien
Ikarus Testvirus = 1 Datei
Backdoor (normal, einfach gepackt, doppelt gepackt) = 3 Dateien
Viren (teilweise einfach und mehrfach gepackt) = 5 Dateien
Trojaner (nicht gepackt) = 3 Datei
Würmer (teilweise nicht gepackt, einfach und mehrfach gepackt) = 9 Dateien
Bots (nicht gepackt, einfach und mehrfach gepackt) = 3 Dateien
Toolbar, die als Spy-/Adware erkannt wird (Elite Toolbar) + Installationsdatei = 2 Datei
Risikoprogramme (nicht gepackt und einfach gepackt bzw. als Installationsdatei) = 4 Dateien
Malware Archiv#2 (85 Dateien):
Das Malware Archiv#2 enthält 518 Dateien, von welchen insgesamt 85 schadhaft sind. Die Dateien waren im ersten Test teilweise mehrfach gepackt (*.rar und *.zip). Das Archiv enthält folgende Malware:
Nuker
Bots
Trojaner
Trojan Dropper
Passwort-Stealer
Keylogger
Viren
Agents
Risikoprogramme
Würmer
Bomber
usw.
Die Malware-Dateien waren zum Testzeitpunkt sehr aktuell und wurden am 12.12.2007 gepackt und mit Kaspersky Internet Security (KIS) geprüft. Das Ergebniss vom 12.12.2007 lag bei 74 gefundenen Dateien durch KIS.
Als Referenz wurde G Data AntiVirus 2008 herangezogen. Die Erkennungsrate lag am 01.12.2007 und 17.12.2007 bei 100 Prozent (85 Dateien).
Trojaner-, Ad- und Spywareprogramme:
Bei diesem Test wurden insgesamt 7 Trojaner-, Ad- und Spywareprogramme getestet. Diese unterteilen sich wie folgt:
5 portable Trojaner-, Ad- und Spywarescanner
2 spezielle U3-Versionen der Trojaner-, Ad- und Spywarescanner
2 unterschiedliche lokal installierte Trojaner-, Ad- und Spywarescanner
Wichtig:
Bei meiner Recherche bin ich auch auf angebliche protable Trojaner-, Ad- und Spywareprogramme gestossen, die selber möglicherweise Malware enthalten. Zu diesen Programmen werden keine Links genannt. Dies heisst aber nicht, das die Programme wirklich schadhaft, sondern nur suspekt sind. Alle hier vorgestellten Programme wurden einer ausgiebigen Prüfung durch mehrer Virenscanner unterzogen. Trotzdem kann und werde ich keine Verantwortung oder Haftung für die hier vorgestellten Programme übernehmen!
Tabelle Erklärungen:
Im folgenden finden Sie eine Erläuterung zu der Tabelle. Wichtig ist mir hierbei Ihr Verständniss für meine Entscheidung auf eine „Platzierung“ zu verzichten! Es geht hier nicht um Verlierer oder Gewinner, sondern um eine zielführende Kombination, die die Sicherheit des geprüften Systems verbessern soll!
Weiterhin ist die Erkennungsrate zwar wichtig, aber nicht das alleinige Kriterium! Wichtig sind insbesondere auch eine integrierte Update-Funktion, die Kompatibilität und die Report-Funktion.
Spalte 1 – Produkt/Version/Signaturdatum:
Produkt: Produktbezeichnung
Version: Version des Programs
Signaturdatum: Datum der Signaturdatenbank
neue Produkte bzw. Versionen werden in Zukunft in der Spalte 1 in grün markiert
Spalte 2 – Betriebssystem/ausführendes Konto:
Betriebssystem: Bezeichnung des Betriebssystems
ausführendes Konto: Konto, unter welchem die Analyse durchgeführt wurde. „als Administrator ausführen“ bezeichnet die explizite Ausführung als Administrator unter Microsoft Windows Vista --> rechtsklick auf das Trojaner-, Ad- und Spywareprogramm --> „Als Administrator ausführen“.
Farblegende: zur besseren Unterscheidung! Microsoft Windows Vista Ultimate 32bit / Microsoft Windows XP SP2
Spalte 3 – UAC-Nachfrage:
UAC-Nachfrage: steht hier „Ja“, wurde von Microsoft Windows Vista automatisch erkannt, das das Programm administrative Berechtigungen benötigt. Wird dies Frage bestätigt, werden dem Programm automatisch administrative Rechte erteilt.
Spalte 4 – Programmverzeichnis Gefunden/Entfernt von gesamt 33 Schadprogrammen:
Programmverzeichnis: schreibgeschütztes Systemverzeichnis in Microsoft Windows. Benutzer mit normalen Berechtigungen haben hier keine Schreibzugriffe (Malware kann von portablen Trojaner-, Ad- und Spywarescanner unter dem Konto „eingeschränkter Benutzer“ nicht aus dem Ordner entfernt werden)
Gefunden/Entfernt: zeigt an, wie viele Dateien gefunden/entfernt wurden. Hier wurde auch die „Quarantäne-Funktion“ geprüft (wenn vorhanden). Wenn die „Quarantäne-Funktion“ nicht funktioniert, wurde dies in der Spalte „Bemerkungen“ aufgeführt.
Spalte 5 – Normales Verzeichnis Gefunden/Entfernt von gesamt 33 Schadprogrammen:
Verzeichnis ohne NTFS-Einschränkungen für normale Benutzer
Spalte 6 – Gepacktes/Ungepacktes Virenarchiv von insgesamt 85 Schadprogrammen:
Verzeichnis ohne NTFS-Einschränkungen mit mehrfach gepackten und ungepackten Schadprogrammen
Spalte 7 – Integrierte Update-Funktion:
zeigt an, ob ein Programm eine integrierte und funktionierende Update-Funktion bietet
Spalte 8 – Report-Funktion:
zeigt an, ob ein Programm eine integrierte und funktionierende Report-Funktion bietet
Spalte 9 – Bemerkungen:
allgemeine Auffälligkeiten und Vorkommnisse
Spalte 10 – Link:
Link zur Homepage des Herstellers
Tabelle:
|
Produkt / Version / Signaturdatum |
Betriebssystem / ausführendes Konto |
UAC-Nachfrage |
Programm-verzeichnis Gefunden / Entfernt von gesamt 33 |
Normales Verzeichnis Gefunden / Entfernt von gesamt 33 |
Gepacktes Virenarchiv Gefunden von 85 |
Integrierte Update-funktion |
Report-funktion |
Bemerkung |
Link |
|
Portable Trojaner-, Ad- und Spywarescanner |
|
|
|
|
|
|
|
|
|
|
Ad-Aware SE Personal / 1.06r1 / 17.12.2007 |
Vista Ultimate / Administrator |
Nein |
0 / 0 |
0 / 0 |
0 von 85 Fehler beim Entpacken Signaturen vom 17.12.2007 |
Ja |
Ja |
|
Produkt ist nicht mehr verfügbar Infos unter: http://www.lavasoft.com/products/select_your_product.php |
|
Ad-Aware SE Personal / 1.06r1 / 17.12.2007 |
Windows XP / Administrator |
----------- |
0 / 0 |
0 / 0 |
0 / von 85 Fehler beim Entpacken Signaturen vom 17.12.2007 |
Ja |
Ja |
|
Produkt ist nicht mehr verfügbar Infos unter: http://www.lavasoft.com/products/select_your_product.php |
|
A-Squared Free / 3.1.0.9 / 19.12.2007 |
Vista Ultimate / Administrator |
Ja |
27 / 27 |
27 / 27 |
75 von 85 Signaturen vom 19.12.2007 |
Ja |
Ja |
|
|
|
A-Squared Free / 3.1.0.9 / 19.12.2007 |
Windows XP / Administrator |
----------- |
27 / 27 |
27 / 27 |
75 von 85 Signaturen vom 19.12.2007 |
Ja |
Ja |
|
|
|
Ewido Anti-Spyware / 4.0.0.201 / 20.12.2007 |
Vista Ultimate / Administrator |
----------- |
----------- |
----------- |
----------- |
----------- |
----------- |
Keine Funktion unter Windows Vista |
Produkt ist nicht mehr verfügbar. Infos unter: http://www.ewido.net/de/product/ |
|
Ewido Anti-Spyware / 4.0.0.201 / 20.12.2007 |
Windows XP / Administrator |
----------- |
26 / 26 |
26 / 26 |
62 von 85 Signaturen vom 20.12.2007 |
Ja |
Ja |
|
Produkt ist nicht mehr verfügbar. Infos unter: http://www.ewido.net/de/product/ |
|
Spybot Search & Destroy / 1.5.1.15 / 19.12.2007 |
Vista Ultimate / Administrator |
Nein |
1 / 1 |
1 / 1 |
0 von 85 Signaturen vom 19.12.2007 |
Ja |
Ja |
|
|
|
Spybot Search & Destroy / 1.5.1.15 / 25.12.2007 |
Windows XP / Administrator |
----------- |
1 / 1 |
1 / 1 |
0 von 85 Signaturen vom 25.12.2007 |
Ja |
Ja |
|
|
|
Ashampoo AntiSpyWare / 1.61 / 25.12.2007 |
Vista Ultimate / Administrator |
Nein |
27 / 27 |
27 / 27 |
75 von 85 Signaturen vom 26.12.2007 |
Ja |
Ja |
|
Produkt ist nicht mehr verfügbar. |
|
Ashampoo AntiSpyWare / 1.61 / 25.12.2007 |
Windows XP / Administrator |
----------- |
27 / 27 (Quarantäne) Löschen nicht möglich, nur Quarantäne |
27 / 27 (Quarantäne) Löschen nicht möglich, nur Quarantäne |
75 von 85 Signaturen vom 25.12.2007 |
Ja |
Ja |
|
Produkt ist nicht mehr verfügbar. |
|
U3 Trojaner-, Ad- und Spywarescanner |
|
|
|
|
|
|
|
|
|
|
1-2-3 SpyWare Free U3 / 4.4 / 19.12.2007 |
Windows XP / Administrator |
----------- |
0 / 0 |
0 / 0 |
0 von 85 Signaturen vom 19.12.2007 |
Ja |
Nein |
|
http://software.u3.com/Product_Details.aspx?ProductId=334&Selection=7&Lang=en-US |
|
XOFTspy Portable U3 / 1.1.0.1 / 19.12.2007 |
Windows XP / Administrator |
----------- |
0 / 0 |
0 / 0 |
0 von 85 Signaturen vom 12.12.2007 |
Ja |
Nein |
|
http://software.u3.com/Product_Details.aspx?ProductId=103&Selection=7&Lang=en-US |
|
Lokale Trojaner-, Ad- und Spywarescanner |
|
|
|
|
|
|
|
|
|
|
A-Squared Anti-Malware / lokal installierte Version / Stand 20.12.2007 |
Vista Ultimate / Administrator |
----------- |
27 / 27 |
27 / 27 |
75 von 85 Signaturen vom 19.12.2007 |
Ja |
Ja |
|
|
|
Ashampoo AntiSpyWare / lokal installierte Version / Stand vom 25.12.2007 |
Windows XP / Administrator |
----------- |
27 / 27 (Quarantäne) Löschen nicht möglich, nur Quarantäne |
27 / 27 (Quarantäne) Löschen nicht möglich, nur Quarantäne |
75 von 85 Signaturen vom 25.12.2007 |
Ja |
Ja |
Hintergrundwächter erkennt 0 von 33 kopierten Dateien |
Produkt ist nicht mehr verfügbar. |
Empfehlung:
Eine ganz klare Empfehlung kann bei diesem Test nur a-squared von Emsisoft ausgesprochen werden!
Neben den besten Erkennungsraten, ist die Kombination der gebotenen Leistungen wirklich fantastisch:
kostenlose Version
umfangreiche Funktionen im Test
absolut problemlose Update-Funktion (selbst bei Versions-Updates)
kompatibel zu Vista
neueste Version ist portabel nutzbar
Weitere nennenswerte Produkte:
Auch AntiSpyWare von Ashampoo zeigt die gleichen hohen Erkennungsraten wie a-squared, hat aber folgende Nachteile:
keine Free-Ware
neueste Version ist nicht mehr portabel nutzbar
Bedingt nennenswert ist noch Ewido. Es hat aber weitere Nachteile zu AntiSpyWare und a-sqared:
schlechtere Erkennungsrate
Programm ist nicht mehr verfügbar
neueste Version von Grisoft ist nicht mehr portabel nutzbar
neueste Version ist keine Free-Ware mehr
Ewido zeigt Schwächen in der integrierten Update-Funktion (Update bricht oft ab, kann aber nach kurzer Wartezeit erneut gestartet werden)
Zusammenfassung:
Dieser Test zeigt gleich mehrere interessante Fakten!
Lokale gegen portable Version:
Sowohl a-squared, als auch AntiSpyWare zeigen die gleichen Erkennungsraten in der portablen und der lokal installierten Version. Somit ist die Leistungsfähigkeit von portablen Trojaner-, Ad- und Spywarescanner in diesen Beispielen gleich.
Schwarz & Weiss:
Die Ergebnisse meiner Tests sind doch sehr krass! Auf der einen Seite stehen gute bis sehr gute Erkennungsraten von 3 Produkten, während 4 Produkte noch nicht mal ein Eicar-Testfile in ungepackter Version erkennen können. Das ist mehr als schwach, da es sich bei dem Eicar-Testfile um einen weitestgehend anerkannten „Standard“ handelt, welcher von allen Anti-Malwareprodukten erkannt werden sollte.
Eine komplette Null-Erkennungsrate gibt aber doch sehr zu denken! Obwohl man nicht vergessen möchte, das es sich hierbei um „nicht installierte“ Malware handelt. Ob installierte Malware erkannt werden würde, möchte ich nicht testen. Es bliebe aber eine theoretische Möglichkeit, die ich erwähnen möchte.
Die Besten:
Hingegen sind die sehr guten Ergebnisse von a-squared und AntiSpyWare eine wirklich positive Überraschung! Sie zeigen sich bei diesem Test als sehr gute Lösung, die sogar namhafte lokal installierte und auch portable Virenscanner in den Schatten stellen! Eine tolle Leistung, die wahrscheinlich die Wenigsten vermutet hätten!
Immerhin konnten von 23 getesteten Virenscannern nur 3!!! Virenscanner ein besseres Ergebniss als a-squared oder AntiSpyWare erzielen!
Selbst Ewido konnte nur von 6 der 23 Virenscanner ein- oder überholt werden.
Interne Links:
U3 als universelle Werkzeugkiste und Auditsystem für Rechnersysteme – Teil 1: http://www.security-dome.eu/__U3-Universelle_Auditing-und_Preventionlosung__.html
Vorstellung von 15 portablen Virenscannern – U3/USB-Technik gegen Malware – Teil 2: http://www.security-dome.eu/U3-Universelle_Prevention-Virenscanner_Teil2.html
Vergleichstest 23 lokale und portable Virenscanner: http://www.security-dome.eu/Mobile_Virenscanner_Test-1.html
MicroWorld Free AntiVirus Toolkit Utility Vorstellung und Beschreibung: http://www.security-dome.eu/Microworld_AV_Beschreibung_1.html
G Data AntiVirus 2008 Vorstellung – Teil 1: http://www.security-dome.eu/G_Data_AntiVirus2008_Vorstellung-1.html
G Data AntiVirus 2008 Praxiserfahrungen – Teil 2: http://www.security-dome.eu/G_Data_AntiVirus2008_Erfahrungen-2.html
Test und Erfahrungen mit G Data`s AntiVirenKit 2007: http://www.security-dome.eu/G-Data_AVK2007_Test.html
Symantec`s Norton Internet Security 2007: http://www.security-dome.eu/NIS2007_Neu.html
Externe Links:
Eicar Testfile: http://www.eicar.org/anti_virus_test_file.htm#
Ikarus Testvirus: http://www.ikarus-software.at/
Alle weiteren externen Links finden Sie diesmal innerhalb der Tabelle --> Spalte „Link“.
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter -->
http://www.security-dome.eu/forum/pA/index.php
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 21.02.08
Letzte Aktualisierung: 21.02.08