Zugegebenermaßen, die Headline klingt etwas reißerisch. Soll sie aber auch. Nach der WannaCry-Kampagne, von der wohl jeder durch zahlreiche Berichte in Funk und Fernsehen Mitte Mai 2017 gehört haben dürfte, wurde ich nach Empfehlungen für ein “sicheres” AV-Programm gefragt, das aber natürlich nach Möglichkeit auch nichts kosten sollte. Zum letzteren Thema möchte ich nur folgendes sagen: Wer bereits am Virenschutz sparen möchte, der muss auch damit leben, dass sein Monitor als Reklametafel verwendet wird – wer freie Versionen von bekannter AV-Software wie beispielsweise Avast oder Avira verwendet, wird wissen, was ich meine.

Das soll jetzt aber nicht das Thema sein. Ich kann tatsächlich niemand guten Gewissens einen Malwareschutz empfehlen, der das erste WannaCry-Sample am Tag des Ausbruchs (12.05.17) auch nach mehreren Stunden(!) in der Umlaufbahn nicht erkannt hat. Dies trifft gemäß folgendem Screenshot (Quelle: http://blog.fefe.de/?mon=201705) dann wohl auf alle Virenscanner zu, die bei VirusTotal zum Einsatz kommen, und das sind immerhin an die 60(!) Scan Engines. Da darunter auch Virenscanner sind, die nur ausführbare Dateien scannen, verringer sich die Anzahl auf 56:

Jetzt wird natürlich der ein oder andere zunächst entrüstet aufschreien und darauf hinweisen, dass bei VirusTotal üblicherweise die Kommandozeilenscanner der jeweiligen Produkte zum Einsatz kommen und deshalb nur rein signaturbasiert gescannt wird. Dieses Argument ist natürlich richtig, aber dem halte ich entgegen, dass primär signaturbasierte Scanner sowieso ein Relikt aus der Vergangenheit sind und auch ein Kommandozeilenscanner in der Regel cloudbasiert scannen kann, d.h. Hashwerte, die über die jeweiligen Clouds der einzelnen Hersteller aktualisiert und verteilt werden, kommen üblicherweise schneller auf dem Endpoint an als Signaturupdates.

Oder lag es daran, dass das Wochenende vor der Türe stand und auch Malwareanalysten gerne  Feierabend machen möchten? Das sei ihnen auf jeden Fall gegönnt, doch dann muss man sich auch die Frage stellen, wie wirkungsvoll der Schutz durch Antiviren-Software ist, die keine zeitnahen Updates via Cloud oder was auch immer (z.B. Signaturen) erhält. Vergleichen Sie am besten selbst einmal die vollmundigen Werbeaussagen von der “intelligenten Cloud”, die mittels “maschinenbasierten Lernen” unbekannte Bedrohungen in Echtzeit sofort und zuverlässig abwehren kann mit der harten Realität – aus meiner Sicht klafft da eine gewaltige Lücke.

Wie das mit einer modernen Next-Generation-Lösung wie Cylance aussehen kann, zeigt dieser Blogartikel von Cylance zum Thema WannaCry.  Der Vollständigkeit halber möchte ich erwähnen, dass ich aus zuverlässiger Quelle weiß, dass auch eine ältere Version von CylancePROTECT WannaCrypt problemlos entdeckt und gestoppt hätte:

CylancePROTECT and WannaCry

Über DeepArmor von SparkCognition hatte ich bereits berichtet; auch diese Next-Gen AV-Lösung hat WannaCry erkannt und gestoppt, ohne vorher jemals das Sample gesehen zu haben:

Ich möchte es an dieser Stelle jedem selbst überlassen, sich Gedanken darüber zu machen, wie die Zukunft im AV-Bereich aussehen wird – für mich ist es mittlerweile glasklar, und das manifestiert sich auch in der Überschrift.

One Thought on “Welche traditionelle AV-Software ist heutzutage noch empfehlenswert? Keine!”

Leave a Reply

Your email address will not be published. Required fields are marked *