| Trojanerscanner im Test September 2001 mit Selbstinfizierung
Warum diesen Test ? Bei vielen Trojanerautoren liegt es im "Trend" sich vor Viren- und Trojanerscannern zu "schützen" und somit unentdeckt zu bleiben. Dieses geschieht in der Regel dahingehend, indem der Trojaner versucht den laufenden Prozess der Sicherheitssoftware zu beenden bzw. deren Start zu verhindern. So etwas ist in etwa mit Retroviren zu vergleichen (siehe auch "Virentypen"). Wir wollten wissen, ob diese Gefahr wirklich gegeben ist. Auch ist es für einen Trojanerscanner oft keine leichte Aufgabe ein aktives Trojanisches Pferd überhaupt aus dem System zu entfernen. Auch diese Funktion wurde in diesem Test mit einbezogen. Viele Trojanerscanner verfügen über einen sogenannten Hintergrundwächter, der den Start eines Trojaners verhindern soll. Greift hier die Monitorfunktion auch wirklich und verhindert schlimmeres ? Testbedingungen: Der Test wurde von Roman Kopecny (rk) durchgeführt. Rückfragen zum Test sind direkt an Roman zu richten (E-Mail: rokop@trojaner-info.de). Testsystem: AMD K6-II 500Mhz, 128mb Ram, Win2000 prof.
Firewall: Zonealarm 2.1.44
AT-Programme: Anti Trojan 5.5, ANTS 2.0, PC Door Guard 2, Tauscan 1.6, The Cleaner 3.2, Trojan Hunter 2.0 Verwendete Trojaner: Bionet 3.18, Buschtrommel 1.22, Y3k 1.6, MoSucker 2.2, Netbus 1.7 upx Alle Trojanerserver (außer Netbus) waren oder wurden mit einer Funktion versehen, bekannte
Firewalls und Antivirenprogramme auszuschalten. Netbus 1.7 wurde mit upx gepackt um ihn so vor AV-Programmen zu verbergen.
Durchführung:
Zuerst wurde versucht bei aktiviertem Hintergrundwächter (soweit vorhanden) des jeweiligen Antitrojanersoftware die Trojaner zu starten. Dieser Versuch sollte zeigen ob das Programm einer Infizierung vorbeugen bzw. verhindern kann.
Anschließend wurde getestet, ob die Programme einen bereits infizierter PC wieder bereinigen können. Dabei wurde versucht bei einem aktiven Trojaner das Antitrojanerprogramm zu starten.
Gelang dies nicht, wurde der Trojanerprozess beendet und das Programm anschließend gestartet. Testergebnisse| Anti Trojan 5.5 | - Scanzeit: 3:59 min
- Anti Trojan erkannte keinen der Trojaner
- 1 von 4 Trojanern konnte Anti Trojan am Start hindern
- Keiner der Trojaner konnte gelöscht werden
Homepage des Herstellers |
| | ANTS 2.0 | - Scanzeit: 2:17 min
- ANTS erkannte 3 von 5 Tojanern
- 1 von 4 Trojanern konnten den ANTS-Scanner am Start hindern
- Der Hintergrundwächter ließ sich nicht starten (auch bei nichtinfizierten PC)
- 2 von 5 Trojanern konnten entfernt werden, 1 Trojaner nur teilweise
Homepage des Herstellers |
| | PC Door Guard 2 | - Scanzeit: 0:17 min
- PC Door Guard erkannte 1 von 5 Trojanern
- Keiner der Tojaner konnte PC Door Guard am Start hindern
- 1 Trojaner konnte entfernt werden, bei einem Trojaner wurden die Registryeinträge gelöscht, somit konnte dieser auch nicht mehr bei Systemstart ausgeführt werden
- Kein Hintergrundwächter
Homepage des Herstellers |
| | Tauscan 1.6 | - Scanzeit: 6:18 min
- Tauscan erkannte 2 von 5 Trojanern
- Keiner der Trojaner konnte Tauscan oder den Hintergrundwächter am Start hindern
- 3 von 5 Trojanern konnten entfernt werden
Homepage des Herstellers |
| | The Cleaner 3.2 | - Scanzeit: 2:16 min
- The Cleaner erkannte 2 von 5 Trojanern
- Kein Trojaner kann The Cleaner am Start hindern, 2 Trojaner beenden lediglich seinen Prozessviewer. Bei einem Trojaner läßt sich mit einngeschaltetem Prozessviewer und Hintergrundwächter das Betriebssystem nur kuzzeitig starten.
- 2 von 5 Trojanern konnten entfernt werden
Homepage des Herstellers |
| | Trojan Hunter 2.0 | - Scanzeit: 0:40 min
- Trojan Hunter erkannte 4 von 5 Trojanern_
- Keiner der Trojaner konnte das Programm oder den Hintergrundwächter am Start hindern.
- 4 von 5 Trojanern konnten entfernt werden
Homepage des Herstellers |
| Anmerkung: Einige Trojaner sorgten für Stabiliätsprobleme des Systems. Dieses wird sich scheinbar darauf berufen, da diese nicht "für" Windows 2000 System programmiert worden sind. Bei einem Trojaner kam nach der Infektion immer untenstehende Meldung. In manchen Fällen waren mehrere Neustarts des Betriebssystems nötig. 
| 
