So gut reparieren Schutz-Suiten Ihr System nach einer Schädlings-Attacke
Kann eine Schutz-Suite ein Windows-System nach einer Verseuchung komplett reinigen und reparieren? In einer aufwendigen Laborprüfung im Jahr 2015 und über 4 Testrunden hinweg zeigen 7 Produkte, wie gut sie schützen, reinigen und vor allem reparieren.
Gerade bei den beliebten Drive-by-Downloads braucht es nicht mal einen falschen Klick: schon beim reinen Vorbeisurfen fängt man sich einen Schädling ein und ein ungeschütztes System wird infiziert.
Was kann man dann tun? Lässt sich ein System überhaupt komplett von einem Schädling reinigen und wiederherstellen? Im Internet kursiert die Aussage, dass man ein System neu aufsetzen muss, da man etwa den Trojaner sonst nicht mehr loswird. Diese Aussage ist definitiv falsch, wie der aktuelle Reparatur-Test mit 7 Security-Suiten belegt. Dafür hat das Labor über ein Jahr hinweg Windows-Systeme gezielt mit hartnäckigen Angreifern verseucht, gereinigt und wiederhergestellt.
Mit im Test waren folgende Produkte:
• AVG Internet Security 2015
• Avira Antivirus Pro 15.0
• Bitdefender Internet Security 2015
• ESET Smart Security 8
• G Data Internet Security 25.1
• Kaspersky Internet Security 2015
• Microsoft Security Essentials 4.8
Schädling verhindert die Reinigung
Im ersten Testteil hatten die Windows-Systeme keinen Schutz und wurden verseucht. Das Labor hat dann versucht, die Suiten zu installieren, zu reinigen und zu reparieren.
Bereits beim ersten Schritt haben einige perfide Schädlinge die Installation von AVG, Bitdefender, ESET und G Data verhindert. Die Suiten konnten in diesen einzelnen Fällen nichts ausrichten. Allerdings: über die Tests hinweg konnte das Labor beobachten, dass die Schädlinge sich permanent weiter entwickeln, Sicherheitsprogramme identifizieren und deren Installation blockieren. So ist auch zu erwarten, dass zum Beispiel ein Schädling A eine Suite derzeit nicht blockt, aber eine Weiterentwicklung A1 dies nach kurzer Zeit schafft.
Bei den Systemen mit bereits installierter Security-Software hatten die Angreifer keine Chance etwas zu blocken.
Aktive Schädlingskomponente bleibt zurück
In beiden Testszenarien, mit installierten Suiten und auch mit nachträglich installierten Paketen, wurden fast alle verseuchten Windows-Systeme im Test sehr gut gereinigt. Lediglich die Lösungen von ESET und Kaspersky konnten jeweils in einem von 50 Fällen die aktive Schädlingskomponente nicht entfernen. Das System blieb somit infiziert.
Alle anderen Produkte hinterließen lediglich ungefährliche Dateireste oder nutzlose Eintragungen in der Registry. Das Labor sieht dies nicht als gefährlich an.
Installierte Suiten helfen auch im Notfall
Mit die wichtigste Erkenntnis des Tests: ist auf einem System bereits eine Schutz-Suite installiert und es wird verseucht, dann ist eine spätere Reinigung und Reparatur wesentlich erfolgreicher als bei Systemen ohne Schutz-Paket. So konnten ein installiertes Avira und Bitdefender nach einer gezielten Verseuchung alle 50 Testsysteme zu 100 Prozent reinigen und wiederherstellen. AVG und G Data schafften das bei 49 Systemen – je einmal blieb nur ein ungefährlicher Dateirest zurück. Interessant war auch das Ergebnis von Microsoft mit seinen Security Essentials. Ob vorinstalliert oder nachträglich – in der Not schaffte es die Reinigung aller Testsysteme und hinterließ nur 8 bzw. 9 Mal nicht infizierte Dateireste.
Testprozedere und Hintergrundinformationen
Der aktuelle Dauertest lief über das Jahr 2015 und 4 Testrunden. In zwei Testszenarien wurden Windows-Systeme manuell mit jeweils 50 ausgesuchten Schädlingen verseucht.
Während der gesamten Testzeit wurden immer wieder unterschiedliche Schädlings-Familien getestet, da sich diese ja auch permanent weiter entwickeln. Die verwendeten Malware-Samples waren allen Lösungen zu den verschiedenen Testzeitpunkten bekannt und sollten daher erkannt werden. In den Testtabellen wurden Reinigungs- und Reparaturqualität nach der folgenden Reihenfolge erfasst:
- Verhinderte der Schädling die Reinigung?
- Wurden die aktiven Komponenten komplett entfernt?
- Blieben ungefährliche Dateireste übrig bzw. wurden alle Veränderungen am System rückgängig gemacht?
- Hat die Schutz- bzw. Reinigung-Software alles perfekt entfernt und wiederhergestellt?
Ablauf im Test
Der Test wurde in zwei typische Infektionsszenarien gegliedert.
- Auf einem bereits verseuchten Windows-System wurde die Schutz-Software installiert und die folgende Erkennung und Reinigung vorgenommen. Teilweise blockierten die vorhandenen Schädlinge die Installation der Schutz-Suite.
- Die installierten Schutz-Pakete wurden kurz deaktiviert, die Malware eingespielt und dann der Schutz wieder aktiviert. Auch hier wurden dann wieder die Erkennung, die Reinigung sowie die Reparatur protokolliert.
Der Aufwand der Prüfungen war immens. Das Labor konnte zwar einige Schritte automatisieren, aber die jeweilige Reinigung eines Systems erforderte viel Handarbeit, da teilweise Schritte im Ablauf am Bildschirm per Mausklick bestätigt werden mussten. Bei 700 Testfällen war das zum Teil ein mühsames Unterfangen. Zum Abschluss mussten auch die teilweise übrig gebliebenen Dateien noch klassifiziert werden.
Der Dauertest fand ausschließlich auf echter Hardware unter Windows 7 statt. Virtuelle Umgebungen wurden nicht genutzt, da einige Malware-Samples erkennen, ob sie sich in einer virtuellen Umgebung befinden. In diesem Fall würden sie sich anders verhalten. Mit echter Hardware ist das Szenario so realistisch wie im Alltag eines Nutzers.