Test Avira AntiRootkit Tool 1.0.1.10 (Beta)
Hersteller: Avira
Preis: Zeitlich limitierte Beta (Registrierung erforderlich)
Sprache: Englisch
Betriebssystem: Windows 2000/ XP/ 2003/ Vista
Treibername: avirabb.sys und ssmdrv.sys (immer geladen)
Avira AntiRootkit Tool 1.0.1.10 (Beta) vs Rootkits
System: Windows XP Pro SP2
Schwierigkeit: 1=Sehr schwer, 2=Schwer, 3=Mittel, 4=Einfach
Abkürzungen: Prozesse, Treiber, Hooks, Dateien, Registry
Ja: Findet Objekt, Nein: Was wohl
n/a: Diese Funktion wird vom Programm nicht unterstützt
Demo-Rootkits:
1 BadRKDemo_XP - T: n/a H: n/a R: Ja Entfernen: Nein
1 phide_ex - P: Nein (siehe Text) T: n/a
1 RKUnhooker Test Rootkit 1.2 neu - P: Ja T: n/a
1 Unreal.A Test Rootkit - T: n/a D: Nein
Grayware-Rootkits:
2 FUTo_enh - P:: Ja T: n/a
Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: n/a D: Ja R: Ja Entfernen: Automatisch
3 Goldun - H: n/a D: Nein R: Ja Entfernen: Nein
3 Hacker Defender 100 - P: Ja D: Ja R: Ja Entfernen: Automatisch
1 Rustock.B (alias lzx32.sys) *1,2 - T: n/a H: n/a D: Nein R: Ja Entfernen: Nein (siehe Text)
3 Zcodec-Ruins - H: n/a R: Ja Entfernen: Nein
*1 Benutzt ADS
*2 Benutzt ISA (Implementationsspezifischer Angriff)
Fazit
Die Erkennungsrate hat sich seit der letzten Beta deutlich verbessert. Allerdings ist dieser Erfolg vermutlich weniger auf eine echte Verbesserung zurückzuführen, als auf obskure Tricks.
Der Treiber ist jetzt nach Art eines HIPS ständig geladen und zeichnet Rootkit-relevante Daten auf. Wenn man den "Detektor" dann startet, holt er den Bericht vom Treiber und tut so als hätte er die Sachen gerade gefunden. Dieser Trick ist bereits von AVG AntiRootkit bekannt (der Hersteller verbietet die Veröffentlichung von Testergebnissen in den Lizenzbedingungen). Allerdings basiert die Software von Avira nicht nur auf diesem Trick.
Natürlich funktioniert dieses System nur dann, wenn der Anti-Rootkit-Treiber bereits vor dem Rootkit geladen wurde. Wenn es dem Rootkit gelingt, sich in der Ladereihenfolge der Treiber nach vorne zu schieben, hat der "Detektor" verloren. Im Gegensatz dazu ist richtigen Detektoren die Ladereihenfolge egal.
Das lässt sich einfach überprüfen: Phide_ex Rootkit starten, Avira AntiRootkit Tool installieren, findet nichts. AntiRootkit Tool installieren, rebooten um den Treiber zu laden, phide_ex starten, findet es.
Wenn das RKUnhooker Test Rootkit vor der Installation des AntiRootkit Tools gestartet wird, findet das AntiRootkit Tool beim Scan einen Prozess ohne Namen. Wenn man das RKUnhooker Test Rootkit nach der Installation startet, zeigt das AntiRootkit Tool den Namen des Loaders an - obwohl der versteckte Prozess gar keinen Namen hat. Das zeigt überdeutlich, dass die Anzeige teilweise auf der Aufzeichnung von Prozessdaten beruht.
Anderer Test: Rustock.B installieren, rebooten, Avira AntiRootkit Tool installieren, rebooten, findet Datei nicht. Wenn Avira AntiRootkit Tool zuerst installiert wird, wird die versteckte Datei/ADS gefunden und Rustock.B kann automatisch entfernt werden.
Diese Launenhaftigkeit ist beängstigend. Dummerweise sagt einem das AntiRootkit Tool noch nicht mal, dass es nach der Installation unbedingt einen Reboot braucht.
Versteckte Registry-Schlüssel scheint das Programm ohne Tricks zu finden. Auch mit FUTo versteckte Prozesse findet das Programm sofort nach der Installation ohne Reboot. Das ist schon mal nicht schlecht.
Vermutlich ist das Anti-Rootkit Programm nur ein Testlauf, bevor die Funktionen in das Anti-Virus Programm von Avira eingebaut werden. Da der Hintergrundwächter dort eh immer läuft, macht es vielleicht Sinn wenn er auch noch nach Rootkits sucht. Als Einzelprogramm ist das AntiRootkit Tool nur beschränkt brauchbar.
Links
0 Kommentare:
Kommentar veröffentlichen (Editor öffnet sich in Popup-Fenster) Smilies