Win32/Bagle.C: Pfusch bei Virenscannerupdates

[Monster]

Die Wurmsituation mit den verschiedensten Varianten von NetSky und Bagle ist mittlerweile ziemlich unübersichtig geworden. Aber auch unter hoher Arbeitslast kann man von den Anti-Viren-Herstellern eigentlich erwarten, dass alle herausgegebenen Updates korrekt funktionieren. Die meisten Würmer verschicken sich nicht nur selbst per Mail, sondern legen auf infizierten Rechnern auch noch allerhand ausführbare Dateien oder DLLs an. Ein Scanner sollte also nicht nur die Wurm-EXE, sondern auch diese Bestandteile erkennen, die beim Win32/MyDoom.A unter anderen für die Hintertürfunktionen zuständig waren. Andernfalls wiegt sich ein Anwender in trügerischer Sicherheit, wenn sein Virenscanner meldet, dass alles clean ist, aber in Wirklichkeit noch jeder Hacker schnell auf sein System zugreifen könnte.

Wird der Win32/Bagle.C-Wurm aktiviert, so kopiert er sich unter dem Namen readme.exe in das System- beziehungsweise System32-Verzeichnis von Windows. Weiterhin legt er die beiden Dateien onde.exe (19 Kilobyte) und doc.exe (2 Kilobyte) an. Diese enthalten weitere Wurmbestandteile, die unter anderen für das massenhafte Verschicken der Wurm-Mails zuständig sind. Alle Dateien sind leicht mit einer Signatur zu erkennen -- aber leider scheinen einige Schutzsoftwarehersteller nicht sauber gearbeitet zu haben, so dass im ersten Update nur der Wurm selbst erkannt wurde. Erst mit einem zweiten oder gar mit einer dritten Aktualisierung klappte endlich die vollständige Wurmkur.

Nur Symantec Norton Anti-Virus konnte den Win32/Bagle.C auch ohne Update per Heuristik erkennen, inklusive der onde.exe. Bitdefender fand ohne Aktualisierung zwar nicht den Wurm selbst, wohl aber die onde.exe. Somit hätte sich der Wurm zwar auf einem System einnisten, aber nicht weiterverbreiten können.

Mit dem ersten Update wurden alle Wurmbestandteile nur von fünf der 23 getesteten Virenkiller gefunden. Hierzu zählen eTrust InoculateIT (CA-Engine), McAfee, Norman, Reliable AV (RAV) und Virusbuster.

Verständlich wäre gewesen, wenn der Hersteller zunächst eine Aktualisierung bereitstellt, die den nur den eigentlichen Wurm stoppen kann, quasi als Infektionsgrundschutz. Etwa ein bis zwei Stunden sollte eine Analyse fertig sein, so dass die Entwickler ein zweites Update herausgeben könnten, das den Wurm komplett erkennt, etwa, wenn eine Desinfektion nötig wird. Dies war bei AntiVir (110 Minuten) und Bitdefender (60 Minuten) der Fall.

Die Zeitverzögerungen zwischen den Updates von eTrust InoculateIT mit VET-Engine und Panda (jeweils knapp drei Stunden), Quickheal (4 Stunden) und Trend Micro (5 Stunden) sind schon extrem groß. Überboten wurde das aber noch von AVG (16 Stunden), Command (17 Stunden), Esafe (mehr als zwei Tage), F-Prot (17 Stunden), F-Secure (16 1/2 Stunden), Kaspersky (10 Stunden), Sophos (7 Stunden) und Symantec (21 Stunden). Das ist gerade bei einem Wurm, der weltweit Schlagzeilen durch seine extreme Verbreitung macht, eindeutig zuviel.

Als einziger Scanner im Test benötigte Dr. Web geschlagene drei Updates ehe der Wurm vollständig erkannt wurde, wobei 11 Stunden zwischen der ersten und der letzten Aktualisierung lagen. Avast, ClamAV und Ikarus erkannten den Wurm bis zum Redaktionsschluss immer noch nicht komplett.

Im folgenden finden Sie die Reaktionszeiten, das heißt wie lange die jeweiligen Entwickler benötigten, bis ein Komplettschutz verfügbar war, also alle drei Wurmdateien erkannt wurden.

RAV stellte als erstes am 28.02. um 0:35 Uhr ein Update bereit. McAfee folgte um 2:20 Uhr, Norman um 2:30 Uhr, AntiVir um 3:50 Uhr, Panda um 6:35 Uhr, Trend Micro um 6:50 Uhr und eTrust InoculateIT (CA-Engine) um 7:35 Uhr.

Bis zum Mittag folgten Updates von Sophos (9:15 Uhr), Virusbuster (10:25 Uhr), Kaspersky (12:00 Uhr), Bitdefender (12:50 Uhr) und Quickheal (12:50 Uhr). Erst gegen Abend hatten die Hersteller von AVG (17:50 Uhr), F-Prot (17:55 Uhr), F-Secure (18:30 Uhr), Command (19:20 Uhr) und Dr. Web (20:10 Uhr) ein vollständiges Update parat.

Symantec lieferte erst am darauf folgenden 29.02. um 1:30 Uhr ein komplettes Update, was aber auf Grund der Tatsache, dass sie den Wurm sowieso schon lange vor dem Ausbruch erkannten, nicht wirklich schlimm ist.

Aber die Ergebnisse von eTrust InoculateIT mit VET-Engine (29.02. um 9:15 Uhr) und Esafe (01.03. um 19:20 Uhr) geben schon zu denken. Wie bereits erwähnt, erkannten Avast, ClamAV und Ikarus den Wurm bis zum Redaktionsschluss immer noch nicht vollständig.


Quelle:PC-WELT


Monster