Der König ist tot, es lebe der König
Jeder der sich mit Schadsoftware und speziell mit Computerviren beschäftigt, kennt eicar (www.eicar.org). Ursprünglich als „European Institute for Computer Antivirus Research“ gegründet, steht heute eicar für eine Expertengruppe, die sich um IT Sicherheit kümmert. Bekannt geworden ist eicar aber durch das EICAR-STANDARD-ANTIVIRUS-TEST-FILE.
Fragestellung
Seit im Jahr 1986 der Pakistani-Brain-Virus entdeckt wurde und 1987 der Stoned-Bootsektorvirus die Computerwelt aufschreckte, hat sich die Malware-Szene massiv verändert. Bootviren sind beinahe ausgestorben und die klassischen Viren fristen ein Schattendasein. Es dominieren BOT-Netzwerke, Rootkits und polymorphe Viren die auf hohem technischem Niveau angesiedelt sind.
Alles hat sich weiter verändert und weiterentwickelt. Nur das eicar-Testfile ist gleich geblieben:
Verwendung
>>They want some way of checking that they have deployed their software correctly, or of deliberately generating a „virus incident in order to test their corporate procedures, or of showing others in the organisation what they would see if they were hit by a virus“.<<
Die offizielle Beschreibung des eicar-Testfiles nennt drei Arten der Verwendung.
- Überprüfung, ob die AV-Software korrekt verteilt (installiert?) wurde
- Testen der definierten Folgeaktivitäten bei einem Virusvorfall
- Präsentieren einer Virusmeldung für den Anwender
In der Praxis beschreibt der erste Punkt die häufigste Nutzung. Dabei geht es vor allem darum, festzustellen, ob der Virenscanner korrekt installiert wurde bzw. korrekt funktioniert. Dazu speichert man das eicar-Testfile auf einem System und prüft, ob der Virenscanner den vermeintlichen Virus auch entdeckt. Ebenso testet man damit die genutzten Virenscanner auf FTP-, HTTP- und SMTP-Gateways (File-Transfer, Web, E-Mail). Denn auch in dieser Umgebung sollte der Virenscanner das Testfile zuverlässig erkennen.
Ohne Zweifel ist das eicar-Testset ein sinnvolles Tool, welches den Security-Admin bei seiner Arbeit unterstützt. Die Frage ist aber: Wie aussagekräftig ist dieser Funktionstest mit dem eicar-Testfile in der heutigen Zeit überhaupt noch?
Virenscanner-Technik
Am Anfang der Virenscanner-Entwicklung erkannte man die Computerviren zuverlässig mit einer Signatur. Dabei handele es sich quasi um einen elektronischen Fingerabdruck einer virulenten Datei. Als es immer mehr Viren gab, konterte die Antiviren-Industrie mit mehr Technik. Generische Erkennung, heuristische Erkennung, Behaviour-Analyse und Sandboxing sind nur einige der neu genutzten Verfahren. Technik, die benötigt wird, um die immer anspruchsvolleren Computerviren zuverlässig zu erkennen.
Da für die Erkennung eines eicar-Testsets aber ein einfaches Byte-Pattern genügt, reduziert sich die Aussage bzgl. der Funktionsfähigkeit des Virenscanners genau auf diese Erkennungsmethode!
Ob die Heuristik eines Virenscanners funktioniert oder nicht, lässt sich mit dem aktuellen Testset nicht verifizieren. Denn die komplexen Virus-Analysemethoden kommen aufgrund der Einfachheit des Testsets nicht zum Einsatz.
Strikt betrachtet, testet man mit dem eicar-Testset nur eine von n Erkennungsmethoden des Virenscanners! Ob die zusätzlichen Erkennungs-Techniken des Virenscanner funktionieren, bleibt unbestätigt.
Ebenso offen ist, ob das „Clean-Modul“ des genutzten Virenscanners funktioniert. Denn das eicar-Testset kann nicht gesäubert werden. Dies liegt daran, dass es sich dabei nicht um eine real infizierte Datei handelt, sondern um ein Signaturmuster zum Testen von Virenscannern.
Ob das Testset in einem Archiv erkannt wird, lässt sich hingegen überprüfen. Denn eicar bietet dazu das Testset auch in einem ZIP-Archiv an. Wer aber testen möchte, ob der Virenscanner wirklich Archive korrekt überprüft (.ZIP, .ARC, .ARJ, .RAR, .CAB etc.) sollte sich selbst sein Testset erstellen. Dabei sollten auch mehrfache Packzyklen berücksichtigt werden und das Archiv-in-Archiv-Prinzip. Eigenarbeit empfiehlt sich auch im Umfeld der Laufzeitpacker (UPX, FSX, ASPack etc.), denn entsprechende Samples werden noch nicht über die eicar-Webseite angeboten.
Der alte König
Das eicar-Testset ist in die Jahre gekommen und wird seinem ursprünglichen Anspruch nicht mehr gerecht. Sicherlich kann man testen, ob die eigenen Folgeaktivitäten greifen, wenn das Testset gefunden wird – aber ein gewisses Gefühl der Unsicherheit bleibt, ob wirklich alles stimmt. Wird der genutzte Virenscanner zuverlässig funktionieren, wenn die komplexeren Module zur Analyse erforderlich sind?
Eine Antwort darauf würde nur ein Test mit einem echten Virus geben. Aber dies wird kein Security-Admin tun, der seine fünf Sinne beisammen hat! Auch der Einsatz von „kastrierten“ Viren (Dabei wird der Replikations- und Schadteil entfernt) zu Testzwecken ist zu hinterfragen.
Wie sieht also die Lösung aus diesem Dilemma aus?
Marc Schneider, Technical Director bei eicar, berichtete kürzlich auf der VIST-Veranstaltung zu diesem Thema. Auch bei eicar hinterfragt man das eicar-Testfile und denkt über ein Redesign nach. Dazu sollte es auch auf der aktuellen eicar-Konferenz einen entsprechenden Vortrag geben (AVerify: An open-source anti-virus test Suite).
Es bleibt also abzuwarten, ob eicar bzgl. des Testfiles einen modernere Lösung bringt, oder ob eine der anderen Sicherheitsorganisationen ( AMTSO www.amtso.org, AV-Test www.av-test.org, AV-Comparatives www.av-comparatives.org etc.) hier punktet und neue Standards setzt.
Ausblick
Das eicar-Testfile funktioniert! Aber es ist Aufgabe des Security-Admins die Aussagekraft in der richtigen Relation darzustellen. Für Einzelzwecke mag es Sinn machen, selbst aktiv zu werden und zusätzliche Testsets zu erstellen, die einen Virenscanner besser überprüfen.
Man darf aber annehmen, da eicar das Problem erkannt hat, auch zügig darauf reagieren wird. Es lebe der König.
—
Der Autor: Ralph Dombach ist IT-Spezialist, Sie finden seine Website auf secuteach.de, er twittert als @secuteach.