23. Februar 2016 erstellt von Markus Selinger So gut reparieren Schutz-Suiten Ihr System nach einer Schädlings-Attacke Kann eine Schutz-Suite ein Windows-System nach einer Verseuchung komplett reinigen und reparieren? In einer aufwendigen Laborprüfung im Jahr 2015 und über 4 Testrunden hinweg zeigen 7 Produkte, wie gut sie schützen, reinigen und vor allem reparieren. Gerade bei den beliebten Drive-by-Downloads braucht es nicht mal einen falschen Klick: schon beim reinen Vorbeisurfen fängt man sich einen Schädling ein und ein ungeschütztes System wird infiziert. Was kann man dann tun? Lässt sich ein System überhaupt komplett von einem Schädling reinigen und wiederherstellen? Im Internet kursiert die Aussage, dass man ein System neu aufsetzen muss, da man etwa den Trojaner sonst nicht mehr loswird. Diese Aussage ist definitiv falsch, wie der aktuelle Reparatur-Test mit 7 Security-Suiten belegt. Dafür hat das Labor über ein Jahr hinweg Windows-Systeme gezielt mit hartnäckigen Angreifern verseucht, gereinigt und wiederhergestellt. Mit im Test waren folgende Produkte: • AVG Internet Security 2015 • Avira Antivirus Pro 15.0 • Bitdefender Internet Security 2015 • ESET Smart Security 8 • G Data Internet Security 25.1 • Kaspersky Internet Security 2015 • Microsoft Security Essentials 4.8 Schutz-Suiten sind verlässliche Helfer Das Labor hat den Test in zwei Abschnitte geteilt. Im ersten wurde geprüft, wie gut ein Schutzpaket arbeitet, wenn es auf einem bereits verseuchten PC installiert wird. Also bei einem Nutzer, der erst zur Security-Software greift, wenn der Unfall bereits passiert ist. Hier kann zusätzlich das Problem auftreten, dass ein Schädling die Installation verhindert. Dazu später mehr. Im zweiten Abschnitt wurde simuliert, dass ein Schädling noch nicht erkannt wurde und sich in einem System ausbreitet. Kommt dann ein Update, wird die Malware erkannt, entfernt und das System gereinigt. Da die im Test verwendeten Samples allen Testkandidaten bereits bekannt waren, wurde zur Verseuchung die Schutz-Suite deaktiviert und dann wieder aktiviert. Der technische Ablauf des Tests wird im unten stehenden Kasten „Testprozedere und Hintergrundinformationen" genau erklärt. Schädling verhindert die Reinigung Im ersten Testteil hatten die Windows-Systeme keinen Schutz und wurden verseucht. Das Labor hat dann versucht, die Suiten zu installieren, zu reinigen und zu reparieren. Bereits beim ersten Schritt haben einige perfide Schädlinge die Installation von AVG, Bitdefender, ESET und G Data verhindert. Die Suiten konnten in diesen einzelnen Fällen nichts ausrichten. Allerdings: über die Tests hinweg konnte das Labor beobachten, dass die Schädlinge sich permanent weiter entwickeln, Sicherheitsprogramme identifizieren und deren Installation blockieren. So ist auch zu erwarten, dass zum Beispiel ein Schädling A eine Suite derzeit nicht blockt, aber eine Weiterentwicklung A1 dies nach kurzer Zeit schafft. Bei den Systemen mit bereits installierter Security-Software hatten die Angreifer keine Chance etwas zu blocken. Aktive Schädlingskomponente bleibt zurück In beiden Testszenarien, mit installierten Suiten und auch mit nachträglich installierten Paketen, wurden fast alle verseuchten Windows-Systeme im Test sehr gut gereinigt. Lediglich die Lösungen von ESET und Kaspersky konnten jeweils in einem von 50 Fällen die aktive Schädlingskomponente nicht entfernen. Das System blieb somit infiziert. Alle anderen Produkte hinterließen lediglich ungefährliche Dateireste oder nutzlose Eintragungen in der Registry. Das Labor sieht dies nicht als gefährlich an. Installierte Suiten helfen auch im Notfall Mit die wichtigste Erkenntnis des Tests: ist auf einem System bereits eine Schutz-Suite installiert und es wird verseucht, dann ist eine spätere Reinigung und Reparatur wesentlich erfolgreicher als bei Systemen ohne Schutz-Paket. So konnten ein installiertes Avira und Bitdefender nach einer gezielten Verseuchung alle 50 Testsysteme zu 100 Prozent reinigen und wiederherstellen. AVG und G Data schafften das bei 49 Systemen – je einmal blieb nur ein ungefährlicher Dateirest zurück. Interessant war auch das Ergebnis von Microsoft mit seinen Security Essentials. Ob vorinstalliert oder nachträglich – in der Not schaffte es die Reinigung aller Testsysteme und hinterließ nur 8 bzw. 9 Mal nicht infizierte Dateireste. Testprozedere und Hintergrundinformationen Der aktuelle Dauertest lief über das Jahr 2015 und 4 Testrunden. In zwei Testszenarien wurden Windows-Systeme manuell mit jeweils 50 ausgesuchten Schädlingen verseucht. Während der gesamten Testzeit wurden immer wieder unterschiedliche Schädlings-Familien getestet, da sich diese ja auch permanent weiter entwickeln. Die verwendeten Malware-Samples waren allen Lösungen zu den verschiedenen Testzeitpunkten bekannt und sollten daher erkannt werden. In den Testtabellen wurden Reinigungs- und Reparaturqualität nach der folgenden Reihenfolge erfasst: 1. Verhinderte der Schädling die Reinigung? 2. Wurden die aktiven Komponenten komplett entfernt? 3. Blieben ungefährliche Dateireste übrig bzw. wurden alle Veränderungen am System rückgängig gemacht? 4. Hat die Schutz- bzw. Reinigung-Software alles perfekt entfernt und wiederhergestellt? Ablauf im Test Der Test wurde in zwei typische Infektionsszenarien gegliedert. 1. Auf einem bereits verseuchten Windows-System wurde die Schutz-Software installiert und die folgende Erkennung und Reinigung vorgenommen. Teilweise blockierten die vorhandenen Schädlinge die Installation der Schutz-Suite. 2. Die installierten Schutz-Pakete wurden kurz deaktiviert, die Malware eingespielt und dann der Schutz wieder aktiviert. Auch hier wurden dann wieder die Erkennung, die Reinigung sowie die Reparatur protokolliert. Der Aufwand der Prüfungen war immens. Das Labor konnte zwar einige Schritte automatisieren, aber die jeweilige Reinigung eines Systems erforderte viel Handarbeit, da teilweise Schritte im Ablauf am Bildschirm per Mausklick bestätigt werden mussten. Bei 700 Testfällen war das zum Teil ein mühsames Unterfangen. Zum Abschluss mussten auch die teilweise übrig gebliebenen Dateien noch klassifiziert werden. Der Dauertest fand ausschließlich auf echter Hardware unter Windows 7 statt. Virtuelle Umgebungen wurden nicht genutzt, da einige Malware-Samples erkennen, ob sie sich in einer virtuellen Umgebung befinden. In diesem Fall würden sie sich anders verhalten. Mit echter Hardware ist das Szenario so realistisch wie im Alltag eines Nutzers. So gut können Internet-Security-Suiten verseuchte Windows-Systeme säubern und wiederherstellen. Security-Suiten im Reparaturtest 2015/16: Die meisten Programme schnitten sehr gut ab, wobei die vorinstallierten Sicherheits-Suiten am besten mit Verseuchungen umgehen können. Gesamtergebnis im Reparaturtest 2015/16: Die 7 Programme wurden im Labor mit unterschiedlichen Angriffsszenarien auf ihre Leistung bei Reinigung und Reparatur getestet. Schädlingsarten: Die im Test genutzten Schädlinge wurden vom Labor im Verhältnis zur alltäglichen Bedrohungslage ausgesucht. Avira Antivirus Pro: In beiden Testszenarien, fest installiert oder als Installation nach der Verseuchung, reinigte und reparierte die Suite nahezu alles perfekt. Bitdefender Internet Security: die fest installierte Version reinigte und reparierte im Test 50 von 50 Testfällen, nur als Rettungsversion auf einem PC ohne Schutz-Software wurde im Test einmal die Installation geblockt. Copyright © 2015 by AV-TEST GmbH, Klewitzstr. 7, 39112 Magdeburg, Germany Phone +49 (0) 391 60754-60, Fax +49 (0) 391 60754-69, www.av-test.org
© Copyright 2024 ExpyDoc