17. Januar 2007

Test Avira AntiRootkit Tool 1.0.1.5 (Beta 3)

Hersteller: Avira
Preis: Zeitlich limitierte Beta (Registrierung erforderlich)
Sprache: Englisch

Treibername: avirabb.sys und ssmdrv.sys (werden bei Bedarf geladen)


Eine unsichtbare Fee hat mir die neueste Beta-Version der Anti-Rootkit Software von Avira gebracht. Der hierzulande omnipräsente Hersteller des Viren-Scanners AntiVir will das Programm angeblich schon zur Cebit vorstellen.

Das AntiRootkit Tool ist ein konventionelles Ein-Klick Anti-Rootkit mit automatischer Entfernung. Als Besonderheit kann es eine Verbindung mit AntiVir eingehen. Dabei werden erkannte Rootkits in die "Quarantäne" des Viren-Scanners verschoben.

AntiRootkit Tool findet versteckte Prozesse, Dateien und Registry-Schlüssel. Das Programm zeigt auch versteckte Treiber an, findet sie aber nur durch Scannen der Registry. Die Suche nach versteckten Treibern wird daher als nicht existent gewertet.

Zu jedem gefundenen Objekt kann man sich Details anzeigen lassen, ausserdem gibt es einen Report mit allen Ergebnissen.

Zum Entfernen von versteckten Dateien ist immer ein Reboot erforderlich. Was anderes kann nicht entfernt werden.

Das Programm hat keine Anleitung und keine Online-Hilfe.




Avira AntiRootkit Tool 1.0.1.5 (Beta 3) vs Rootkits

System: Windows XP Pro SP2
Nach der Installation des Rootkits erfolgt immer ein Reboot (ausser bei nicht-persistenten Demos), dann der Test.

Schwierigkeit: 1=Sehr schwer, 2=Schwer, 3=Mittel, 4=Einfach
Abkürzungen: Prozess, Treiber, Hooks, Datei, Registry
Ja: Findet Objekt, Nein: Was wohl, n/a: Diese Funktion wird vom Programm nicht unterstützt

Demo-Rootkits:
1 BadRKDemo_XP - T: n/a H: n/a R: Ja Entfernen: Nein
2 FUTo_enh - P: Ja T: n/a
1 phide_ex - P: Nein T: n/a
1 RKUnhooker Test Rootkit 1.2 neu - P: Ja T: n/a

Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: n/a D: Ja R: Ja Entfernen: Automatisch
4 Alpha-DVD (Kopierschutz) - P: Ja Entfernen: Automatisch
3 Goldun - H: Nein D: Nein R: Programmfehler Entfernen: Nein
3 Hacker Defender 100 - P: Ja D: Ja R: Ja Entfernen: Automatisch
1 Rustock.B (alias lzx32.sys) *1,2 - T: n/a H: n/a D: Nein R: Ja Entfernen: Nein
3 Zcodec-Ruins - H: n/a R: Ja Entfernen: Nein

*1 Benutzt ADS
*2 Benutzt ISA (Implementationsspezifischer Angriff)


Fazit
Das Versagen bei der Entfernung von Rustock.B ist nicht wirklich gut. Das Malware-Rootkit ist seit fast einem halben Jahr bekannt. Das AntiRootkit Tool bietet die Entfernung zwar an, schafft es dann aber doch nicht. Das ist wenig überraschend, da die gefundenen Registry-Schlüssel nicht gelöscht werden können und die Datei nicht gefunden wird.

Damit befindet sich Avira AntiRootkit Tool in bester Gesellschaft: Auch Sophos Anti-Rootkit versagt bei Rustock.B. Vermutlich hat auch Aviras Software Probleme mit Alternativen Datenströmen (ADS).

Die Probleme setzten sich fort bei BadRKDemo_XP und Zcodec-Ruins. Die versteckten Registry-Schlüssel werden zwar gefunden, können aber nicht entfernt werden. Ich bin zu dem Schluss gekommen, dass das Programm überhaupt keine Registry-Schlüssel entfernen kann. Die Erkennung von versteckten Registry-Schlüsseln ist aber gut, wenn auch langsam.

Im Test traten bizarre Fehlalarme auf. AntiRootkit Tool fand einmal mehrere nicht-existierende versteckte Treiber. Nach der Installation des Goldun-Rootkits wurden mehrere hundert Registry-Schlüssel von Microsoft .NET als "versteckt" angezeigt. Update: Die Schlüssel waren wirklich versteckt. Warum? Keine Ahnung, Muss besser hinsehen.

Die Erkennung von verstecken Prozessen scheint relativ gut zu sein. Mit Ausnahme des "Super-Rootkits" phide_ex wurde alles gefunden. Beim RKU Test Rootkit versagt sogar die neueste Version von IceSword.

Die Erkennung von versteckten Treibern ist weniger gut bzw. nicht existent. Schlecht: Wenn beim Registry-Scan ein versteckter Treiber gefunden wird, wird der Schlüsselname nicht angezeigt, nur der Dateiname. Das ist eher verwirrend als hilfreich.

Ich habe keine Zeiten gestoppt, aber das Programm kam mir unangenehm langsam vor. Der Trend Micro RootkitBuster kommt mir subjektiv drei mal so schnell vor. Dafür ist das Programm stabil. Es gab keine Abstürze oder ähnliches.

Die einzige Besonderheit von Avira AntiRootkit Tool ist die Integration mit dem Viren-Scanner AntiVir vom selben Hersteller. Damit müssen verdächtige Objekte nicht sofort gelöscht werden, sondern kommen erst mal in Quarantäne.

Die Erkennungsleistung bleibt insgesamt deutlich hinter den Freewareprogrammen Rootkit Unhooker und GMER zurück. Beide Programme können Rootkits im laufenden Betrieb killen und ihre Dateien löschen (ohne Reboot).


Links

4 Kommentare:

andy1964 hat gesagt…

Sicherheitssoftware, Software im Allgemeinen

Also ist die Avira-Antirootkit-software, was Qualität und Performance angeht, noch verbessserungswürdig.
Aber das ist ja auch (nur) eine beta-Version.

Was ich bei Avira gut finde, ist das eint Teil der Einnahmen an die Auerbacht-Stifung geht.
(Zeck der Auerbach-Stiftung: http://www.auerbach-stiftung.de/stiftungszweck.html)

Für gute Sicherheitssoftware bzw. für gute Software im Allgemeinen bin ich auch bereit, Geld auszugeben.
Für gute Produkte aus anderen Lebensbereichen muss man das ja auch.

So habe ich für folgende Sachen bezahlt:
- zu Dos/Win3.11 mal für McAffee-Lizenzen
- vor wenigen Jahren für Symantecs AV-Programme bzw. für die Norton-Internet-Security
- aktuell, ich glaube seit 4 Jahren, für a² (Nachfolge von YAW, für die ich auch eine Lizenz hatte, und aufgrund dieser der Uprgrade billiger war.)

Lizenzen für andere Softwarebereiche:
- Registry System Wizard (!)
- Partition Magic 6.0
- OCR-Software
- Quicken 2000 Deluxe (!)
- WinOnCd 3.7, 3.8. , 5.0
- Turbo-Datenbank TDB zu Dos- Zeiten und Nachfolger VisualDataPublisher (!)

Das Ausrufezeichen dahinter bedeutet: Diese
Produkte finde ich gut, den Preis habe ich gerne bezahlt, die Programme nutze ich auch heute noch.

Ein Wehrmutstropen sind Produkte, bei denne ich Upgradeversionen nur mittels Creditkarte bekomme.
Weil: ich habe keine Kreditkarte und will keine Kreditkarte.
Eine EC-Karte reicht für mich völlig aus oder anders gesagt, auch mit einer EC-Karte oder auf Rechnung sollte Software-Upgrades möglich sein.
(Das war bei Symantec und bei Roxio z.B. nicht der Fall)

Ich finde OSS gut, ich finde Freeware gut (mus nicht ja nicht zwangsläufig OSS sein), ich finde aber auch qualitativ gute kommerzielle Software gut.


OSS-Freeware ist z.B. toll, weil
- man Geld spart
- weil der Meinungs- und Erfahrungsautausch in den Foren auch sehr unterhaltsam ist oder sein kann. (besser als in einer Support-Telefonschleife zu hängen, um dann am Ende mit 0815-Sprüchen "bedient" zu werden.

- weil oft Programmierer aus der OSS oder Freeware-Szene immer wieder neue gute Ideen in ihre Programme bringen, die auch kommerzielle Anbieter zur Verbeserung ihrer Produkte antreiben. (!!!)
(Wenn dann gute, ausgereifte Freeware zu "Payware" wird, d.h. zu einem angemessenem Preis angeboten wird, finde ich das ok.)

So ist es also gut, dass es Free-Anti-Rootkit-Tools gibt.
Die müssen gar nicht mal supergut sein.
Ich stelle an Bezahlt-Software ganz andere, höhere Anforderungen als an OSS oder Freeware.

Ich kann ja nicht noch über den Programmierer einer Freeware herfallen, weil es nicht perfekt ist. Sondern ich bin ihm dankbar, dass er seine Zeit (und Zeit ist Geld) opfert und sein Know-How einsetzt (was er sich ja auch über jahre aneignen musste) um anderen kostenlos zu ermöglichen seinen PC zu schützen.

Was mir unangenehm auffällt ist, dass viele AV-Hersteller hingehen und die Leute als Beta-Tester missbrauchen.
Wenn sie es von vorneherein ankündigen, und sagen: "Das ist eine Beta, die ist bis zum soundsovietlen kostenfrei, danach kostet sie Geld", dann ist das OK.

Wenn aber erstmal das Programm kostenlos ins Netz gestellt wird und aufeinmal kostet das Geld, dann sollten die Beta-Tester evtl. eine verbilligte Lizenz bekommen.

Manchmal ist man auber auch gezwungen auf OSS zurückzugreifen, selbst wenn man Geld ausgeben will.

Beispiel: Quicken von Intuit (gutes Finanaverwaltungsprogramm für den Privatmann)

Quicken gibt es für Linux (immer noch) nicht.
(ich finde: eigene Dumheit von denen. Das könnten sie auch als Java-Application realisieren)

Adäquate kommerzielle Programme gibt es nur 2 und das auch erst seit einiger Zeit (eines davon auch deutschsprachig)
Als es diese noch nicht gab, musste ich also im Freeware/OSS Bereich nachschauen. (z.B. Gnu-Cash - englisch)

Ich hoffe, dass es immer wieder gute unabhängige Programmierer geben wird, die die Softwareindustrie "aufmischen", weil deren Programme z.T. besser sind oder gute Innovationen enthalten, und dabei evtl. noch kostenlos sind.

Soweit mein "Wort zum Donnerstag" bzw. zum "Freitag", da das "Wort zum Sonntag" ja immer am späten Samstagsabend gezeigt wurde.

andy1964 hat gesagt…

Zwei Passgaen meines vorherigen Posts könnten als widersprüchlich gewertet werden:

1.:"(Wenn dann gute, ausgereifte Freeware zu "Payware" wird, d.h. zu einem angemessenem Preis angeboten wird, finde ich das ok.)"

2.) Wenn aber erstmal das Programm kostenlos ins Netz gestellt wird und aufeinmal kostet das Geld, dann sollten die Beta-Tester evtl. eine verbilligte Lizenz bekommen.

"1." beziehe ich auf kleine unabhängige Programmierer, nicht auf grosse namenhafte Softwarehäuser, dessen Ziel ja von vornherein ist (und auch sein muss) Gewinne zu erwirtschaften, wohingegen, der unabhängige Programmierer evtl. nur auch mal ein "zählbares Feedback" haben möchte bzw.eine "Aufwandsentschädigung".


Wenn ich der Chef eines namenhaften AV-Unternehmens wäre, würde ich keine keine kostenlose Beta-Versionen ins Netz stellen.

Stattdessen würde ich meine Beta-Tests selbst machen und dann ein ausgereiftes, konkurrenzfähiges Produkt auf den Markt bringen, dass besser ist, als Freeware-Produkte.

In Meinen Augen ist das eine reine Marketingstrategie.
So nach dem Motto:
"Seht her, wir machen in dem Bereich jetzt auch etwas und stellen es befristet kostenlos ins Netz.
Gefällt dem User das Produkt in der Testphase, wird er möglicherweise zum zufriedenen zahlenden Kunden.

Der Schuss kann aber auch nach hinten losgehen, wenn das Produkt schlechter oder teilweise schlechter als Freewaretools ist.
Dann verliert der potentielle Kunde evtl. vorzeitig das Interesse.

Aber da ich ja kein Softwarunternehmer bin, muss ich mir darüber ja eigenlich keine Gedanken machen.

andy1964 hat gesagt…

Unverständnis

Ich kann nicht verstehen, wie man im "Homeuser-Bereich" als Hersteller von Sicherheitssoftware als auch anderer Software (z.B. Partionierungssoftware) sein Image selbst so schädigen kann.

Zumal ich gelesen habe, dass dieser Hersteller im Prof-IT-Bereich sehr wohl qualitiv hochwertige, wenn nicht sogar erstklassige Lösungen anbieten soll.

Aber immerhin bietet er, wie andere AV-Hersteller auch, kostenloses Removal-Tools für die meisten bekannten gemeinen Schadprogramme an.

Und dafür spreche auch ich dem "gelben Riesen", von dem ich früher auch Lizenzen erworben habe, meinem Dank aus.

andy1964 hat gesagt…

KDE für Mac und Windows
Freie Qt-Bibliotheken für Windows und Mac ebnen den Weg
(http://www.golem.de/0701/49982.html)

Eine sehr interessante Nachricht, wie ich finde.