![Page 1: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/1.jpg)
Risiken derNichterkennung von
Malware inkomprimierter Form
DIMVA 20046./7. Juli 2004
Dortmund
Michel Messerschmidt, Fabian Müller & Jan SeedorfantiVirusTestCenter, Universität Hamburg
![Page 2: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/2.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Risiken der Nichterkennung von Malware in komprimierter Form
(1) Vorstellung aVTC(2) Risiken durch Malware in
komprimierter Form(3) Testen der Erkennung von komprimierter
Malware durch Anti-Malware-Software(4) Testergebnisse
![Page 3: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/3.jpg)
(1)Vorstellung aVTC
![Page 4: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/4.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Vorstellung aVTC
● Ein Projekt des Arbeitsbereichs AGN im Fach-bereich Informatik der Universität Hamburg unter Leitung von Prof. Brunnstein
● Unabhängiges Testen von Anti-Malware-Produkten seit über 10 Jahren
● Offengelegte Methodik sichert Nachvollziehbarkeit der Ergebnisse
● Beteiligung von Studenten im Rahmen ihres Studiums
![Page 5: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/5.jpg)
(2)Risiken durch Malware in
komprimierter Form
![Page 6: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/6.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Risiken durch Malware
Risiken durch Malware bestehen bei:● Aktivierung
● Wesentliche Maßnahme: On-Access Scanner● Weiterverbreitung / Distribution
● Wesentliche Maßnahme: Schutz auf Gateway- und Server-Rechnern
● Für mobile Geräte sind zusätzliche Schutzmaßnahmen notwendig
![Page 7: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/7.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Aktivierung von komprimierter Malware
● Nicht laufzeit-komprimierte Malware● On-Access Modus schützt auch ohne gesonderte
Maßnahmen für komprimierte Objekte● Laufzeit-komprimierter Malware
● Auch im On-Access Modus sind zusätzliche Maß-nahmen erforderlich:
● Scannen in laufzeit-komprimierten Objekten erfordert effiziente Unterstützung vieler Kompressionsformate
● Code-Emulation
![Page 8: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/8.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Weiterverbreitung von komprimierter Malware
● Typischer Schutz der Client-Systeme ist nicht ausreichend– On-Access Modus kann unzureichend sein:
● Objekte müssen bei allen Dateizugriffen gescannt werden (nicht nur bei Ausführung)
● Die Unterstützung verbreiteter Kompressionsformate ist erforderlich
● Evtl. Code-Emulation– Oft ist nicht jedes System im lokalen Netz
ausreichend geschützt– Komprimierte Malware kann auf eigentlich
geschützte Systeme (z.B. Fileserver) gelangen und von ungeschützten Systemen aufgerufen werden
![Page 9: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/9.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Beispiel-Szenario
Internet
Rechner C Gateway A
LAN
Notebook B
![Page 10: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/10.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Beispiel-Szenario
Internet
Rechner C Gateway A
LAN
Notebook B
![Page 11: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/11.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Beispiel-Szenario
Internet
Notebook B
Rechner C Gateway A
LAN
![Page 12: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/12.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Beispiel-Szenario
Internet
Notebook B
Rechner C Gateway A
LAN
![Page 13: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/13.jpg)
(3)Testen der Erkennung von
komprimierter Malwaredurch Anti-Malware-Software
![Page 14: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/14.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Testen der Erkennung vonkomprimierter Malware durch
Anti-Malware-Software● Standard-Schutz gegen komprimierte Malware
-> Anti-Malware-Software● Frage:
Wie gut schützt Anti-Malware-Software vor kom-primierter Malware ?
● Ansatz: Anpassung der aVTC-Testmethodik, um speziell die Erkennung von komprimierter Malware zu testen
![Page 15: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/15.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Fragestellungen, die der Test beantworten soll
● Welches Produkt unterstützt welche Komprimierungsformate ?
● Mit welcher Güte werden die Formate unterstützt ?● Werden alle Versionen eines Archivformates
unterstützt ?● Unterstützen die getesteten Programme auch alle
Modi eines Komprimierungsverfahrens ?
![Page 16: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/16.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Fragestellungen, die der Test beantworten soll (2)
● wird auch Malware in (mehrfach) rekursiv gepackten Archiven erkannt ?
● wie reagieren die getesteten Programme bei Problemen mit komprimierten Dateien ?
![Page 17: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/17.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
aVTC Testmethodik
● Tests in einem von der Außenwelt abgeschottetem Netzwerk
● Testmenge wird auf Server bereitgestellt, getestete Produkte greifen per Netzwerkfreigabe im on-demand Modus auf die Testmenge zu
● Durch Auswertung der dabei erzeugten Logdateien werden folgende Werte gemessen:
● Erkennungsrate
● Erkennungsgenauigkeit
● Erkennungszuverlässigkeit
![Page 18: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/18.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
aVTC Testmethodik
● Vergleichbarkeit:● festgelegter Stichtag zum Einreichen der Produkte
● Nachvollziehbarkeit durch Dokumentation und Veröffentlichung von:
● verwendeter Hardware● Einstellungen● Testumgebung● Testmethodik
![Page 19: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/19.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
aVTC Testmethodik
● Auswertung von Protokolldateien (Perl-Skripte):1) Protokolldatei in einheitliches Format umwandeln
2) Protokolldatei aufteilen- infiziert gemeldete Dateien- nicht infiziert gemeldete Dateien- übrige Zeilen
3) Erkennungsrate und andere Kriterien ermitteln
4) Überprüfung des Protokolls
● Bis zu 2 „Nachscans“ pro Produkt und Testmenge
![Page 20: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/20.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
aVTC Testmethodik - fürKomprimierungstest angepasst
● Nicht die Erkennungsrate, sondern der Einfluss der getesteten Kompressionsformate ist von Interesse
● Test von File-itw Viren sowohl unkomprimiert (als Referenzmenge) als auch unter verschiedenen Formaten komprimiert
![Page 21: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/21.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
aVTC Testmethodik - fürKomprimierungstest angepasst
● Qualität der Unterstützung eines Kompressionsformates durch ein Testprodukt:– Differenz zwischen der Erkennungsrate unter
Anwendung der jeweiligen Kompression und der Erkennungsrate der unkomprimierten Referenzmenge
Minderung der Erkennungsrate Produkt, Format
= Erkennungsrate Referenztestmenge Produkt
- Erkennunngsrate Produkt, Format
![Page 22: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/22.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
aVTC Testmethodik - fürKomprimierungstest angepasst
● Durchgeführter Test:– 25 AntiMalware Produkte– Erkennung von 32 Kompressions-/Archivformaten– Referenztestmenge: file-itw (Wildlist Okt 2001)– Betriebssystem: Windows 2000
![Page 23: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/23.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
aVTC Testmethodik - verschiedene Testarten
● Testen der Kompressionsformate*:– Einfache Kompression (ein Archiv pro Verzeichnis)
– Gesamte Referenztestmenge in einem Archiv– Archive ohne Dateiendung– Selbstextrahierende Archive– Passwort-geschützte Archive– Rekursive Archive (2-fach und 9-fach)
(*soweit vom Format unterstützt)
![Page 24: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/24.jpg)
(4)Testergebnisse
![Page 25: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/25.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Getestete Produkte
ANT Antivir INO eTrust AntivirusAVA Avast! NAV Symantec AntivirusAVG AVG Antivirus System NVC Norman Virus ControlAVK Antiviren Kit PAV Power AntivirusAVP Kaspersky Antivirus PER Per AntivirusBDF BitDefender PRO ProtectorCMD Command Antivirus QHL QuickHealDRW Dr. Web RAV RAV AntivirusFIR Fire Anti-virus Kit SCN McAfee ViruScanFPR F-Prot for Windows SWP Sophos Anti VirusFSE F-Secure VBR VirusBusterGLA Gladiator Antivirus VSP VirScanPlusIKA Ikarus Virus Utilities
![Page 26: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/26.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Getestete Komprimierungsformate7Z_ 7-Zip RA1 Rar v1AC2 Ace v2 RA2 Rar v2ACE Ace v1 RA3 Rar v3ARC Arc RAR Rar v3 (solid compression)ARJ Arj SHA Shell ArchiveB64 MIME Base64 SQZ Squeeze ItBH_ Black Hole TAR Tape ArchiveBZ2 Bzip2 UC2 Ultra Compressor 2CAB MS Cabinet File UUE UUEncodeCMS MS Compress ZI2 PkZip 6.0 (zip2.04 compatible)GZ_ Gzip ZI6 PkZip 6.0 HA_ Ha ZIB PkZip 6.0 (bzip2 comp.)JAR Jar ZID PkZip 6.0 (DCLimplode comp.)JAV Java Archive ZIE PkZip 6.0 (Deflate64 comp.)LHA Lha ZIP InfoZip 2.3PAK Pak ZOO Zoo
![Page 27: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/27.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Testergebnisse
● Alle Testergebnisse im Internet unter
www.avtc.info● Für jede getestete Kompressionsart eine Matrix
(Produkte x Kompressionsformate), Inhalt der Zellen ist jeweils die Minderung der Erkennungsrate
![Page 28: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/28.jpg)
Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004
Testergebnisse - Auffälligkeiten
● Archive ohne Dateiendung:– Probleme bei der Erkennung (AVG, CMD, FPR)
● Passwort-geschützte Archive:– Meldung des Testproduktes interessiert– Viele Produkte melden passwortgeschützte Archive
als „ok“ (das Archiv ist ok), sehr irreführend für den Benutzer
– Meldung „passwort-protected“ und „unable to scan“ eher selten
● Rekursiv komprimierte Archive:– Stabilitätsprobleme der Testprodukte (FSE, NVC, PRO,
SCN)
![Page 29: Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004 Aktivierung von komprimierter Malware](https://reader035.vdocuments.pub/reader035/viewer/2022081402/6059c279ab55414be73793d9/html5/thumbnails/29.jpg)