TDSS Rootkit

12/2009

Vergleichstest zur Erkennung einer TDSS Rootkit Infektion

Die 20 getesteten Sicherheitsprogramme

a-squared Anti-Malware
avast! Internet Security Beta
AVG Internet Security
Avira Premium Security Suite
BitDefender Internet Security
Comodo Internet Security
Dr.Web Security Space
ESET Smart Security
F-Secure Internet Security
G Data Internet Security
Hitman Pro
Kaspersky Internet Security
Malwarebytes Anti-Malware
McAfee Internet Security
Microsoft Security Essentials
Norton Internet Security
Online Armor ++
Outpost Security Suite
PC Tools Internet Security
Prevx

Diese 20 Sicherheitsprogramme sollten eine TDSS Rootkit Infektion erkennen.
Das System war bereits infiziert, bevor die Sicherheitsprogramme installiert wurden.
Da diese vorhandene Infektion des Systems in Echtzeit* von keinem(!) der getesteten Sicherheitsprogramme erkannt wurde, zählte für die Bewertung das Ergebnis einer vollständigen Systemprüfung.
* Von Hitman Pro, Malwarebytes Anti-Malware und Prevx wurden die kostenlosen Versionen ohne Echtzeitschutz getestet.

Das TDSS Rootkit

Der „Installer“ hat die MD5 7aa7b6f08a729690c4d53071f267793a.
Diese Datei wird bei VirusTotal und lokal von vielen Sicherheitsprogrammen erkannt.
Dies ist aber nur die „Installationsdatei“ für das Rootkit, die nach der Ausführung automatisch gelöscht wird.
Danach ist das Rootkit im System aktiv und weitaus schwieriger zu finden.
Es infiziert den IDE/ATAPI-Porttreiber von Windows (atapi.sys) und versteckt sich in den letzten Sektoren der Festplatte.

Das Testsystem

Windows XP SP3, Administrator Benutzerkonto, VirtualBox.

Der Testablauf

– Alle Tests fanden vom 23.12.2009 bis 25.12.2009 statt.
– Das Rootkit wurde installiert und dann das System neu gestartet.
– Es wurde die aktuellste Version des Sicherheitsprogramms installiert.
– Bei der Installation wurden die Voreinstellungen gewählt.
– Alle Produktupdates und Signaturupdates wurden installiert.
– Eine vollständige Systemprüfung wurde mit den Standardeinstellungen ausgeführt.
– Wenn das Rootkit nicht gefunden wurde, wurde danach mit Hitman Pro gescannt.

Die Bewertung

Bestanden – die Suche nach dem Rootkit war erfolgreich.

Nicht bestanden – die Suche nach dem Rootkit war erfolglos.

Es wurde nur die Suche nach dem Rootkit bewertet, also ob das Rootkit im System unerkannt blieb oder nicht.
Eine versuchte Entfernung des Rootkits wurde nicht getestet und der Test sagt folglich darüber nichts aus.
Natürlich ist aber eine versuchte Entfernung ohne eine vorherige Erkennung nicht möglich.

Das Testergebnis

Die Dokumentation

Wenn das Rootkit gefunden wurde, ist ein Bild des Scanergebnisses zu sehen.
Wenn das Rootkit nicht gefunden wurde, ist ein Bild des Scanergebnisses und die Erkennung der infizierten atapi.sys von Hitman Pro zu sehen.

Alle Bilder zum Test kann man als Zip Archiv herunterladen.
http://www.box.net/shared/7u0f3qjvdb36ild3be4c

TDSS.zip – MD5: 0147F6A107F4D2D1244F3A02516867E8

Advertisements