12/2009
Vergleichstest zur Erkennung einer TDSS Rootkit Infektion
Die 20 getesteten Sicherheitsprogramme
a-squared Anti-Malware
avast! Internet Security Beta
AVG Internet Security
Avira Premium Security Suite
BitDefender Internet Security
Comodo Internet Security
Dr.Web Security Space
ESET Smart Security
F-Secure Internet Security
G Data Internet Security
Hitman Pro
Kaspersky Internet Security
Malwarebytes Anti-Malware
McAfee Internet Security
Microsoft Security Essentials
Norton Internet Security
Online Armor ++
Outpost Security Suite
PC Tools Internet Security
Prevx
Diese 20 Sicherheitsprogramme sollten eine TDSS Rootkit Infektion erkennen.
Das System war bereits infiziert, bevor die Sicherheitsprogramme installiert wurden.
Da diese vorhandene Infektion des Systems in Echtzeit* von keinem(!) der getesteten Sicherheitsprogramme erkannt wurde, zählte für die Bewertung das Ergebnis einer vollständigen Systemprüfung.
* Von Hitman Pro, Malwarebytes Anti-Malware und Prevx wurden die kostenlosen Versionen ohne Echtzeitschutz getestet.
Das TDSS Rootkit
Der „Installer“ hat die MD5 7aa7b6f08a729690c4d53071f267793a.
Diese Datei wird bei VirusTotal und lokal von vielen Sicherheitsprogrammen erkannt.
Dies ist aber nur die „Installationsdatei“ für das Rootkit, die nach der Ausführung automatisch gelöscht wird.
Danach ist das Rootkit im System aktiv und weitaus schwieriger zu finden.
Es infiziert den IDE/ATAPI-Porttreiber von Windows (atapi.sys) und versteckt sich in den letzten Sektoren der Festplatte.
Das Testsystem
Windows XP SP3, Administrator Benutzerkonto, VirtualBox.
Der Testablauf
– Alle Tests fanden vom 23.12.2009 bis 25.12.2009 statt.
– Das Rootkit wurde installiert und dann das System neu gestartet.
– Es wurde die aktuellste Version des Sicherheitsprogramms installiert.
– Bei der Installation wurden die Voreinstellungen gewählt.
– Alle Produktupdates und Signaturupdates wurden installiert.
– Eine vollständige Systemprüfung wurde mit den Standardeinstellungen ausgeführt.
– Wenn das Rootkit nicht gefunden wurde, wurde danach mit Hitman Pro gescannt.
Die Bewertung
Bestanden – die Suche nach dem Rootkit war erfolgreich.
Nicht bestanden – die Suche nach dem Rootkit war erfolglos.
Es wurde nur die Suche nach dem Rootkit bewertet, also ob das Rootkit im System unerkannt blieb oder nicht.
Eine versuchte Entfernung des Rootkits wurde nicht getestet und der Test sagt folglich darüber nichts aus.
Natürlich ist aber eine versuchte Entfernung ohne eine vorherige Erkennung nicht möglich.
Das Testergebnis
Die Dokumentation
Wenn das Rootkit gefunden wurde, ist ein Bild des Scanergebnisses zu sehen.
Wenn das Rootkit nicht gefunden wurde, ist ein Bild des Scanergebnisses und die Erkennung der infizierten atapi.sys von Hitman Pro zu sehen.
Alle Bilder zum Test kann man als Zip Archiv herunterladen.
http://www.box.net/shared/7u0f3qjvdb36ild3be4c
TDSS.zip – MD5: 0147F6A107F4D2D1244F3A02516867E8
subsetlines.wordpress.com 