Wurmklatsche - intellekta GmbH

ct.1306.160-163
01.06.2006
16:24 Uhr ©Seite 160
Prüfstand | Handy-Virenscanner
Daher gilt es, dem Anwender
keine unnützen Informationen zu
präsentieren und ihm möglichst
wenig Interaktion abzufordern.
Knappe Ressourcen
Daniel Bachfeld
Wurmklatsche
Virenscanner für Symbian-Handys
Hersteller von Antivirensoftware versprechen mit ihren Handy-Scannern
Schutz vor mobilen Schädlingen. Wir unterzogen die Produkte einem Test.
D
urch die Hektik des Alltags
kann es schon mal passieren, dass der PC-Anwender aus Versehen auf den Anhang
einer Mail doppelklickt und sich
flugs einen Wurm oder Trojaner
einfängt. Den Doppelklick gibt es
auf Symbian-Handys bislang
nicht, dort muss man zur Installation einer ausführbaren Datei wenigstens dreimal OK drücken.
Eine ungewollte Installation ist
so eigentlich unmöglich, allerdings nicht ausgeschlossen.
Denn wer nicht weiß, dass in
einer Datei auch der Wurm stecken kann, wird so oft klicken,
wie es das Programm verlangt.
Hilfe bei der Abwehr bösartiger
Dateien versprechen Virenscanner für Handys, die bekannte
Schädlinge entdecken und eliminieren wollen. Wir haben den Miniscannern von Avira, BullGuard,
160
Fortinet, F-Secure, Symantec und
Trend Micro die derzeit bekannten Exemplare mobiler Malware
zum Fraß vorgeworfen und ermittelt, ob und wie gut sie die
verdauten. McAfee wollte mit seiner Beta-Version nicht am Test
teilnehmen. Der Anbieter SimWorks reagierte auf unsere Anfrage gar nicht.
Mit den Virenscannern für
Handys haben die Hersteller ein
Gebiet betreten, bei dem sie mit
den vorhandenen Ressourcen äußerst schonend umgehen müssen. Immerhin will der Anwender
mit dem Handy ja auch noch telefonieren, Nachrichten schreiben
und andere Programme starten.
Systembremsen wie etwa G Datas Antivirenkit, das auf einem
Desktop-PC schon mal andere aktive Anwendungen zum Stottern
bringt, sind auf einem Handy wie
Nokia 6600 mit einem 104-MHzARM-Prozessor und 3 MByte Arbeitsspeicher undenkbar. Bei der
Interaktion des Nutzers mit den
Programmen müssen die Hersteller ebenfalls Abstriche machen,
denn im Vergleich zum PC ist das
Display der Handys lächerlich
klein und die Eingabemöglichkeiten sind sehr eingeschränkt.
Verbreitungsarten
Neben dem Arbeitsspeicher ist
in der Regel auch der Speicher
zur Installation limitiert. Einige
Handys wie etwa das ältere
Nokia 6600 haben nur knappe
6 MByte Speicher. Zwar lassen
sich die meisten Symbian-Anwendungen auch auf der MMCKarte installieren, gerade die Virenscanner bestanden aber in
der Mehrzahl darauf, sich aus Sicherheitsgründen im eingebauten Speicher einzunisten. Einige
machen sich dort aber mit teilweise mehr als 1 MByte ziemlich
breit, sodass ein Auslagern von
Daten oder anderen Anwendungen auf die eingelegte Speicherkarte erforderlich werden kann.
Die möglichen Einfallstore für
Schädlinge sind auf Smartphones
Bluetooth, MMS, Infrarot, Übertragung vom PC/Synchronisation, E-Mail und Speicherkarten
(MMC). Der Hauptteil aller Infektionen findet derzeit aber noch
über Bluetooth und die manuelle Übertragung von Dateien vom
PC aus statt. Dabei ist die Klasse
der Schädlinge, die sich nur
unter Mithilfe des Anwenders
verbreiten, etwa durchs Herunterladen, mehr als dreimal so
groß wie die der Bluetooth-Viren
und -Würmer. Interessanterweise berichten betroffene Anwender aber in der Mehrzahl,
dass ihr Handy mit einem Bluetooth-Schädling infiziert war [1].
Ein Grund dafür könnte sein, dass
die Hersteller von Antivirensoftware die Signaturen der HandyMalware bereits in die Datenbanken für die Desktop-Scanner
einpflegen, sodass hier bereits
einer der Verbreitungswege kontrolliert wird – denn mit dem
Handy-Browser wird sich wohl
kaum jemand Software auf sein
gemeldete Infektionen
Bluetooth
Nutzerinstallation
MMS
MMC
MMS
MMC
Nutzerinstallation
Bluetooth
Weniger als ein Viertel der Handy-Schädlinge ist Bluetoothfähig. Dennoch werden drei Viertel der infizierten Handys
über Bluetooth befallen.
c’t 2006, Heft 13
©
Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ct.1306.160-163
01.06.2006
16:24 Uhr ©Seite 161
Prüfstand | Handy-Virenscanner
Handy laden. Noch sind auch
browserbasierte Ad- und Spyware für Symbian kein Thema.
Leider schützen die DesktopScanner das Handy auch nicht
immer hundertprozentig vor der
Übertragung maliziöser Software. Nur Avira, G Data, F-Secure, Kaspersky und McAfee erkannten alle Exemplare.
Funktional
Wie ihre Desktop-Kollegen benötigen auch die Handy-Scanner
eine Signaturdatenbank, um die
Laufwerke des Systems zu
durchsuchen. Unter Symbian
gibt es vier virtuelle Laufwerke:
C: für den Flash-Speicher, D: für
das RAM, E: für eine Speicherkarte (MMC) und Z: für das ROM.
Das Suchen auf Z: ist in der Regel
nicht notwendig, da sich ein
Schädling nicht selbst ins ROM
schreiben kann. Auf C: finden
sich die meisten Schädlinge,
denn dort speichert das Handy
eingehende Nachrichten.
Da Smartphones über GPRS
oder UMTS eine Verbindung ins
Internet aufbauen können, bietet es sich an, die Signatur-Updates darüber zu beziehen. Allerdings ist dies immer mit zusätzlichen Kosten verbunden. Die
Höhe ist abhängig davon, ob
man einen zeit- oder volumenbasierten Tarif hat, wie groß die
Updates sind und wie oft sie erscheinen. Im Testfeld lagen sie
zwischen 5 KByte und 208 KByte.
Eine Aktualisierung findet nur
unregelmäßig statt, weil nur selten neue Schädlinge auftauchen.
Günstiger ist es, die Updates auf
den PC zu laden und per Bluetooth auf das Handy zu schieben. Leider unterstützen dies
nicht alle Produkte.
Um sich erfolgreich vor einer
Infektion zu schützen, sind im
Desktop-Bereich On-Access-Scanner Stand der Technik. Der Echtzeitschutz erkennt bereits bei
Dateioperationen, ob ein Schädling versucht, sich einzuschleichen. Ein solcher Wächter ist
auch für Handys unerlässlich, um
insbesondere Bluetooth-Viren
und -Würmer abzuwehren. Andernfalls müsste der Anwender
jede eingehende Nachricht manuell scannen. Heuristische
Methoden zur Virenerkennung
kommen auf Handys nicht zum
Einsatz, dafür reichen die Ressourcen einfach nicht aus.
Einige der getesteten Produkte unterstützen auch das Suchen
Bei einem Fund bietet AntiVir
Mobile dem Anwender drei
mögliche Aktionen an.
BullGuards Hauptmenü lässt
dem Anwender nicht
besonders viel Auswahl.
BullGuard war einer der
schnellsten im Test, prüfte aber
weniger Dateien als andere.
in ZIP-Archiven. Da aber Entpacker für Smartphones noch nicht
besonders verbreitet sind, droht
hier noch kein Risiko, weshalb
dieses Szenario im Test nicht
weiter beleucht wurde.
Report über Virenfunde jedoch
gut. Gefundene Schädlinge lassen sich umbenennen, löschen
oder so belassen. Die Einstellungen bieten die Möglichkeit, Meldungen über Virenfunde abzuschalten. Dann wird der Anwender am Ende eines Scans nur
über das Ergebnis informiert,
ohne jedoch die Gelegenheit zu
bekommen, infizierte Dateien zu
löschen oder umzubenennen.
Für die Inbetriebnahme benötigt die Software einen Lizenzschlüssel und eine initiale Signaturdatei (VDF), die sich aber per
Bluetooth auf dem Handy ablegen lassen. Aktuellere Virendefinitionen lassen sich so ebenfalls
kostensparend in das Gerät einspielen. AntiVir Mobile bietet als
einziges Produkt den Scan des
Handy-ROMs an
Der hierzulande kaum bekannte
britische Hersteller BullGuard bietet einen gleichnamigen Scanner
für Handys an. Zwar war die Installationsdatei des Scanners mit
1,3 MByte im Testfeld die größte,
immerhin bot die Installationsprozedur aber als alternativen
Speicherort die MMC-Karte an.
Zur Aktivierung des Produkts ist
eine umständliche Registrierung
über das Handy mit Internetverbindung erforderlich. Dabei
baute das Handy nach der
Anmeldung und Aktualisierung
der Signaturen die GPRS-Verbindung auch nach mehreren Minuten nicht von selbst ab, sodass
wir manuell beenden mussten.
BullGuard Mobile bietet zwar die
individuelle Prüfung einzelner
Laufwerke an, selbst bei der
kompletten Überprüfung aller
wählbaren Laufwerke kam der
Dateizähler aber auf weniger als
die Hälfte der Dateien, die andere Produkte überprüften. Offenbar liest der Scanner nur Dateien
mit bestimmten Endungen. Von
den 79 Virenproben erkannte er
nur 49.
Ohne einen Hinweis installierte BullGuard den Boot-Manager
EZBoot auf dem Handy, der
dafür sorgen sollte, dass ein Virentest vor dem Start anderer
Über Fortinets Menüaufbau
sind alle Funktionen schnell
erreichbar.
Stecken in einer SIS-Datei
mehrere Schädlinge, zeigt
sie F-Secure alle einzeln an.
Test
Wir haben den Test zusammen
mit der Firma AV-Test (www.
av-test.de) durchgeführt und den
Scannern jeweils mehrere bekannte Handy-Viren vorgelegt.
Dabei wurden nur solche Exemplare verwendet, die eine originäre Variante einer Familie oder
Klasse darstellen, womit sich die
Zahl der interessanten Schädlinge von 200 auf 79 verringerte.
Für den Test wurden die Signaturen jeweils auf den neuesten
Stand gebracht. Im Vergleich zu
den bisherigen Tests der PCScanner muss man bei HandyScannern erhebliche Abstriche
bei den Funktionen machen.
Wichtig ist aber auch hier ein unkompliziertes und zuverlässiges
Update, hohe Erkennungsraten
und ein guter Gesamtschutz, zu
dem auch etwa eine BluetoothFirewall beitragen kann.
BullGuard
Avira
Der Avira-Scanner war zwar einer
der schnellsten im Test und erkannte auch alle ihm vorgelegten Schädlinge, allerdings nur bei
manuell gestarteter Suche. Einen
Echtzeitschutz, um etwa per
Bluetooth-Nachrichten reinflatternde Würmer zu blockieren,
bietet AntiVir Mobile nicht. Somit
kann das Programm den Anwender auch nicht warnen, wenn
dieser versucht, die so erhaltene
Datei zu installieren. Die Oberfläche ist sehr minimalistisch, der
c’t 2006, Heft 13
©
Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
161
ct.1306.160-163
01.06.2006
16:24 Uhr ©Seite 162
Prüfstand | Handy-Virenscanner
Trotz ausreichenden Speichers
weigerte sich Trend Micros Scanner, das Update zu installieren.
Symantec informiert, ob
Echtzeitschutz und Firewall
aktiviert sind.
Im Posteingang erkannte
Symantecs Scanner mehrere
Cabir-Varianten.
Applikationen durchgeführt wird.
Grundsätzlich ist dies eine gute
Idee, allerdings verlängert sich
der Boot-Vorgang des Smartphones dadurch um die Dauer
des Scans. Zwar ging das Produkt recht flott vor, dennoch
dauerte der gesamte Vorgang
auf einem Nokia 6600 annähernd zwei Minuten. Während
des Betriebs blockiert der Wächter dann die Installation weiterer
SIS-Pakete.
mentlich vor. Anders als die anderen Produkte brach der Wächter beim Versuch, einen Schädling per Nahfunk auf das Handy
zu spielen, die Übertragung mittendrin ab, statt erst die komplette Nachricht einzulesen.
Nach der Installation des
Scanners ist eine sofortige Aktualisierung über eine GPRS-Verbindung erforderlich – andernfalls verweigert er seinen Dienst.
Zur Deinstallation muss der Anwender die softwareeigene Entfernungsroutine verwenden, da
die Deinstallation über Symbians
Program Manager aus Sicher-
heitsgründen nicht erlaubt ist.
Dabei wird auch die Quarantäne
aufgelöst, sodass anschließend
alle Schädlinge auf dem Handy
wieder frei zugänglich sind.
Fortinet
Fortinet bietet neben dem Virenschutz noch eine Firewall und
einen auf Black- und Whitelist
beruhenden Spamfilter für EMails. Die Firewall blockiert
unter anderem Verbindungsanfragen per Bluetooth, sodass unabhängig von den Signaturen
schon mal einem großen Teil der
Schädlinge der Weg ins Handy
verbaut ist. Die Bedienoberfläche ist übersichtlich und erschließt sich dem Anwender
ohne große Einarbeitung. Von
den Testviren befand der Fortinet-Scanner jedoch nur 59 als
schädlich.
F-Secure
Wie erwartet schlug der Platzhirsch unter den mobilen Virenscannern bei allen ihm vorgelegten Schädlingen an. Ohne den
Anwender lange mit Nachfragen
zu belästigen, verschob er diese
auch gleich in Quaräntane. Der
Scanner bietet keine Auswahl zu
testender Laufwerke an, sondern
rödelt alle Speicherorte immer
komplett durch – leider ziemlich
behäbig. Stecken in einer SISDatei mehrere Schädlinge, so
stellt sie die Oberfläche alle na-
162
nicht mehr ausreichend Platz
vorhanden. Letztlich war das Update nur 20 KByte groß. Erst nach
einem Neustart des Handys installierte das Programm das Update. Trotz der Angabe der Verbindung fragte das Programm
später bei Updates weiterhin
nach dem richtigen Provider für
die GPRS-Internetverbindung.
Immerhin wies es darauf hin,
dass mit dem Aufbau der Verbindung weitere Kosten entstehen.
Fand das Programm eine
schädliche Datei, verschob es sie
automatisch in die Quaräntane.
Trend Micros Scanner erkannte
65 von 79 möglichen Dateien.
Der Echtzeit-Wächter entdeckte
auch die per Bluetooth im Nachrichtenordner eingehenden Würmer. Zur Deinstallation des Programms war das Abschalten des
Echtzeitschutzes notwendig. Wie
Fortinet bietet Trend Micros Lösung einen Spam-Filter für E-Mail.
Trend Micro
Ziemlich zickig verhielt sich der
Scanner von Trend Micro nach
der Installation der mehr als
1 MByte großen SIS-Datei. Obwohl rund 4 MByte im internen
Speicher noch verfügbar waren,
verweigerte das Programm zunächst das Update der Signaturen mit der Begründung, es sei
Symantec
Neben dem Scanner installiert
Symantec zusätzlich LiveUpdateWireless auf dem Gerät. Wer
diese Option bei der Installation
abwählt, bekommt später keine
Updates mehr. Neben dem Virenscanner bietet Symantecs Lösung eine integrierte Firewall,
Virenscanner für Symbian-Smartphones
Programmname
Hersteller
Homepage
Version
Programmsprache
Größe der Installationsdatei [KByte]
Installation auf MMC möglich
Funktionsumfang
bei Virenfund: Aktionsauswahl /
Tipps zum Vorgehen
Echtzeitschutz / abschaltbar
untersuchte Systembereiche
Auswahl der Laufwerke möglich?
Firewall (Bluetooth)
Erkennung
On-Demand / On Access
Heuristik
Quarantäne
Warnton bei Fund
Erkennungsrate
Update
GPRS / PC
Größe der Updates [KByte]
manuell / zeitgesteuert
Bewertung
Erkennung
Schutz
Bedienung
Preis Vollversion mit 1 Jahreslizenz
++ˇsehr gut
+ˇgut
AntivirMobile
Avira
www.avira.de
1.0.10
deutsch
382
–
BullGuard
BullGuard
www.bullguard.com
1.50.0
deutsch
1319
v
FortiClient
Fortinet
www.fortinet.com
2.0.372
englisch
460
–
Anti-Virus Mobile
F-Secure
www.f-secure.de
Feb 20
deutsch
286
–
Mobile Security 4.0
Symantec
www.symantec.de
4.0.3.59
deutsch
842
–
Mobile Security 2.0
Trend Micro
www.trendmicro.de
2.0.1155
englisch
1145
–
v/–
v/–
v/–
v/–
v/–
v/–
–/–
c:, d:, e:
–
–
v/v
c:, e:
v
–
v/v
c:, e:
v
v
v/v
c:, d:, e:
–
–
v/v
c:, d:, e:
–
v
v/v
c:, d:, e:
–
–
v/–
–
v
–
79/79
v/–
–
–
v
49/79
v/v
–
v
–
59/79
v/v
–
v
–
79/79
v/v
–
v
v
58/79
v/v
–
v
–
65/79
v/v
16
v/–
v/–
7
v/v
v/–
40
v/–
v/–
10
v/v
v/–
LiveUpdate 208
v/v
v/–
20
v/v
++
+
+
20 e
±
±
40 e
+
+
k. A.
++
++
+
35 e
±ˇzufriedenstellend
-ˇschlecht
--ˇsehrˇschlecht
±
+
±
+
+
45 e
24 e
(2 Jahre Update)
vˇvorhanden
–ˇnichtˇvorhanden
c’t 2006, Heft 13
©
Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ct.1306.160-163
01.06.2006
16:24 Uhr ©Seite 163
Prüfstand | Handy-Virenscanner
Schutz des Handys ohne Scanner
Noch ist es nicht unbedingt erforderlich, auf Smartphones
Antivirensoftware einzusetzen.
Schaltet man Bluetooth ab, findet kaum ein Schädling den
Weg in das Handy. Wer darauf
nicht verzichten kann, weil etwa
sein Handy mit dem repräsentativen Ohrschnörkel in Verbindung bleiben muss, sollte das
Gerät wenigstens in den unsichtdie neben dem Bluetooth-Verkehr auch den IP-Verkehr über
GPRS kontrollieren kann. Über
einen Schieberegler lässt sich
der Sicherheitsgrad in drei Stufen einstellen. Ziemlich behäbig
ging der Scanner beim Durchforsten der Laufwerke vor und fand
trotzdem nur 58 der 79 abgelegten Schädlinge. Allerdings prüfte
der Scanner intensiver als die anderen Programm, was sich an
der Zahl der überprüften Dateien ablesen ließ – genutzt hat
es nichts, einige im Posteingang
liegende Schädlinge, Cabir und
baren Modus schalten. MMSNachrichten mit bösartigen Anhängen werden von den meisten Mobilfunkanbietern ausgefiltert (siehe vorherigen Artikel).
generell sollte man jedoch keine
Dateien von unbekannten Absendern installieren.
Wer gerne zusätzliche Anwendungen für sein Handy ausproSkulls, bemerkte er nicht. An großen Dateien knabberte der Scanner längere Zeit rum.
Eine gezielte Auswahl von
Laufwerken oder Ordnern war
nicht möglich. Dafür lieferte die
Antivirenlösung bei einer Infektion ziemlich detaillierte Informationen darüber , was man sich da
eingefangen hat. Auch ohne Firewall erkannte der Virenschutz
eine per Blueotooth ankommende verseuchte Datei. Zum Deinstallieren musste der Echtzeitschutz deaktiviert werden. Updates waren nur per GPRS möglich.
bieren möchte, sollte diese nur
von bekannten Seiten herunterladen. Warez-Seiten und P2PNetze sind grundsätzlich eine
schlechte Bezugsquelle für die
eigene Softwaresammlung. Sollte das Handy doch einmal befallen sein, genügt es, etwa die 30
Tage gültige Trial-Version von FSecure oder eines anderen Herstellers zu installieren und das
Fazit
Die Aufgabe, das Handy ohne
großes Brimborium vor den bekannten Schädlingen zu schützen, erfüllt nur das Produkt von
F-Secure zu hundert Prozent.
Dies wundert kaum, da der Hersteller sich nicht erst seit gestern
mit dem Thema beschäftigt, sondern Handy-Viren seit zwei Jahren beobachtet. AntiVir Mobile
erkennt zwar ebenfalls das gesamte Gewürm, allerdings nur
nach manuellem Scan. Trotz
mangelhafter Erkennungsrate
Handy damit zu überprüfen.
Viele Schädlinge lassen sich
auch per Hand beseitigen. Dazu
ist aber der Zugriff auf die Laufwerksstruktur des Handys erforderlich, wie ihn beispielsweise
der Datei-Manager FExplorer erlaubt (siehe Soft-Link). Anleitungen zum Entfernen finden sich
auf den Seiten der Hersteller
von Antivirenprogrammen.
können aber auch die Produkte
von Fortinet und Symantec
durch ihre Firewall vor einer Infektion schützen. Wenn Trend
Micro seine jetzt schon gute Erkennungsrate von 82 Prozent
auf 100 erhöht, könnte es ebenfalls in die engere Wahl fallen.
BullGuards Produkt kann man
derzeit nicht empfehlen. (dab)
Literatur
[1]ˇGeschäftsbericht F-Secure, Mobile Security overview, April 2006
Soft-Link 0613160
c’t 2006, Heft 13
©
Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
c
163