Testlab: Test av onlineskannere

[norbat]

En onlineskanner er en tjeneste de fleste antivirusprodusenter tilbyr på sine hjemmesider. Hva onlineskanneren utfører, varierer. Noen foretar bare en sjekk for å finne evt. infiserte filer (slik som McAfee Freescan). Andre skanner, og tilbyr i etterkant å fjerne filene hvis du oppgraderer programmet mot betaling (eks. Panda ActiveScan). Den siste gruppen skanner etter og fjerner malware - gratis. Det er den siste gruppen som skal under lupen.

 

Infeksjonen som skal finnes er bla. en kjent Downloader knyttet til XP-PoliceAntivirus (falsk antivirus. Det følger også med en rootkit om man får denne malwaren). I tillegg er det lagt inn en infisert .pdf-fil, en fil som er å få via nettsider som har blitt utsatt for injeksjon av kode el. via email. Få antivirus tar denne, men det var også hensikten da man kan se om onlineversjonen til av-programmet er 'bedre' eller ikke.

 

Det bør også nevnes at skannerne ofte krever administratorrettigheter for å kjøre, slik at det kan være en godt ide å kjøre nettleseren som Administrator.

 

Testpc:

Pc'n som brukes er en Acer bærbar, 60 MB, 1GB, koblet til nett med kabel

 

Infeksjonsfilene:

Klikk for å se/fjerne innholdet nedenfor

load.exe blir, når den sjekkes på Virustotal, detekter av følgede av-program:

a-squared -

AhnLab-V3 -

AntiVir TR/Dropper.Gen

Authentium -

Avast Win32:Rootkit-gen

AVG Klone

BitDefender Trojan.Generic.1536553

CAT-QuickHeal FraudTool.XpPoliceAntivirus.n (Not a Virus)

ClamAV 0.94.1 -

Comodo -

DrWeb -

eSafe Win32.TRDropper

eTrust-Vet -

F-Prot -

F-Secure Trojan-Downloader:W32/FakeAlert.EA

Fortinet W32/XPPAv.A!tr

GData Trojan.Generic.1536553

Ikarus -

K7AntiVirus not-a-virus:FraudTool.Win32.XpPoliceAntivirus.k

Kaspersky -

McAfee -

McAfee+Artemis Generic!Artemis

Microsoft VirTool:Win32/Obfuscator.EU

NOD32 Win32/Adware.XPPoliceAntivirus

Norman -

nProtect -

Panda Adware/XPPolice

PCTools 4.4.2.0 -

Prevx1 V2 -

Rising -

SecureWeb-Gateway Trojan.Dropper.Gen

Sophos Troj/XPPAv-A

Sunbelt -

Symantec Downloader

TheHacker Aplicacion/XpPoliceAntivirus.n

TrendMicro -

VBA32 -

ViRobot -

VirusBuster Fraudtool.XpPoliceAntivirus.D

 

PDF-fila (5639.pdf) blir på Virustotal, detekter av følgende av-program:

F-Secure Exploit:W32/AdobeReader.QX

Sophos Troj/PDFJs-B

 

Hvilke onlineskannere blir testet:

Trend Micro Housecall 6.5

F-Secure Online Virus Scanner

BitDefender Online Scanner

Norton Security Scan

Eset online skanner

Microsofts Onecare Safety Scanner

 

Generelt:

Skannere kan komme i to versjoner ('Core Engines'), ActiveX og Java. At skanneren kan benytte Java, betyr at man ikke behøver å bruke Internet Explorer (IE). Dessverre er det fåtallet som har denne muligheten da ActiveX er det dominerende (man MÅ altså bruke IE)

 

De fleste skannerne har noen innstillinger knyttet til hva som skal skannes og hvordan resultatet skal behandles.

 

Nok snakk - la oss sjekke om onlineversjonene til noen av programmene finner filene (i det minste downloaderen (load.exe)

 

Trend Micro Housecall 6.5 http://housecall.trendmicro.com/

Klikk for å se/fjerne innholdet nedenfor

Tilbyr ActiveX og Java-versjon.

 

 

Tidsbruk: ca 60 min

Hva ble funnet: Ingen infiserte filer

 

Vurdering:

+ tilbyr i tillegg til å fjerne malware og spyware en Security Check (portskann og sårbarhetssjekk)

+ kan velge Java-versjon

 

- Fant ingen malwarefiler

 

F-Secure Online Virus Scanner http://support.f-secure.com/enu/home/ols.shtml

Klikk for å se/fjerne innholdet nedenfor

Tilbyr kun ActiveX

 

 

Hvis skanneren skal skanne komprimerte filer (.zip), må man via 'Custum scan' velge "Scan inside archives".

 

Tidsbruk: 40 min

Hva ble funnet: Trojan-Downloader:W32/FakeAlert.EA (load.exe), Exploit:W32/AdobeReader.QX (pdf-fila) + 4 cookies (spyware)

 

Vurdering:

+ Den eneste av skannerne som fant begge av de infiserte filene

 

BitDefender Online Scanner http://www.bitdefender.com/scan8/ie.html

Klikk for å se/fjerne innholdet nedenfor

Kun ActiveX

 

 

Som default vil skanneren prøve å rense infeksjonen den finner. Hvis dette ikke går, blir fila slettet. Dette kan endres, noe man bør pga. evt. falske positiver.

 

Tidsbruk: 35 min

Hva ble funnet: Trojan.Generic.1536553 (load.exe-fila)

 

Vurdering:

+ Rask skanner

+ Fant trojaneren

 

- Fant ikke .pdf-fila, men det gjore heller ikke de andre (unntak F-secure)

 

Norton Security Scan http://security.symantec.com/sscv6/home.as...HSNCAZRGSROFQIM

Klikk for å se/fjerne innholdet nedenfor

Krever ActiveX

 

 

Fra nettsiden velge man Virus Detection for å starte virusskanningen.

 

Tidsbruk: 18 min

Hva ble funnet: Downloader (load.exe-fila)

 

Vurdering:

+ Rask skanning

 

- misset på pdf-fila

 

ESET Online Scanner http://www.eset.com/onlinescan/

Klikk for å se/fjerne innholdet nedenfor

Kun ActiveX

 

 

Før skanningen kjører, kan man merke av for 'Fjern trusler som blir funnet' og/eller 'Skann for uønskede program'. Det siste trenger ikke å være malware, men div. program som påvirker pc'n på en eller annen måte.

 

Tidsbruk: 28 min

Hva ble funnet: win32/XPPoliceAntivirus app. (load.exe)

 

Vurdering:

+ Rimelig rask

+ Fant downloaderen

 

- misset pdf-fila, men...

 

Onecare Safety Scanner http://onecare.live.com/site/en-us/center/howsafe.htm

Klikk for å se/fjerne innholdet nedenfor

Krever ActiveX

 

 

Ingen innstillinger. Får beskjed om at skanningen vil ta 80 min. I tillegg til skanning etter virus og spyware, blir det også foretatt en sjekk av åpne porter.

 

Tidsbruk: ca. 100 min

Hva ble funnet: Mulig infisert fil (load.exe), Ble ikke foreslått slettet, men ble sendt inn for analyse.

 

Vurdering:

- treg og 'dårlig' deteksjon

 

Oppsummering / konklusjon:

Klikk for å se/fjerne innholdet nedenfor

Denne testen har kun vært begrenset til å teste noen onlineskannere opp mot antivirusprogrammet til samme produsent. Hvis vi sammenligner resultatet fra Virustotal, så ser vi at onlineskannerene gjør samme nytten.

 

Hvilken onlineskanner du bør benytte er derfor litt uklart fordi hva den enkelte skanner finner, vil variere ut fra hvilke som får oppdatert sine virusdefinisjoner (først). De aller fleste burde minst ha oppdatering for load.exe-fila da denne ikke er en ny malware. Det gjør at noen onlineskannere kan utelukkes, hvis dette er tendensen til programmet.

 

I denne testen, og hvis du må velge kun en, blir det F-Secure Online Virus Scanner du velger.

 

Både ESET Online Scanner, BitDefender Online Scanner og Norton Security Scan holder mål. Hvis disse ikke får bukt med malwareproblemet ditt, så hjelper ikke de andre i særlig stor grad.

 

Til slutt:

Jeg sitter igjen med følgende opplevelse: Om du allerede har et antivirusprogram installert, bruk det framfor en onlineskanner. Den eneste årsaken til at du trenger å tenke på å benytte en onlineskanner, er når ditt sikkerhetsprogram av en eller annen grunn er satt ut av spill - noe malware har blitt flinke på. Problemet med mye av den malwaren som er aktiv i dag, er at de blokkerer nettsider knyttet til sikkerhetsprogrammer - også i sikker modus. En onlineskanner krever også en aktiv nettforbindelse - noe som er utsatt ved infeksjoner.

 

En onlineskanner vil aldri erstatte et antivirusprogram - det må sees på som kun et supplement. Hvis du er usikker på om ditt antivirusprogram er godt nok og kjører en eller flere onlineskannere av den grunn, så bør du heller vurdere om antivirusprogrammet du benytter skal byttes ut med et annet.

 

Surf trygt!

Endret 10. mars 2009 av norbat