Rising Antivirus Free Edition, Vorstellung und Test Einstellungen

[subset]

Hi,

Rising Antivirus Free Edition (deutsch) wurde hier vor kurzem erwähnt und eigentlich wollte ich es mir nur mal kurz ansehen.
Da das Programm aber mehr Features hat als die meisten kostenpflichtigen Suiten, dachte ich mir, dass es eine Vorstellung verdient.

Download (ca. 54 MB) http://www.freerav.com/

Installation und Performance

RAV installiert einen Autostart, zwei Service, fünf Treiber, einen BootExecute Eintrag und diverse Explorererweiterungen.
Der BootExecute Eintrag ist zum Scannen des Systems vorgesehen, bevor das Betriebssystem geladen wird.

 1Installation.png ( 18.07KB ) Anzahl der Downloads: 62


Die Speicherbelastung ist aber trotz der umfangreichen Installation nur bei rund 15 MB im Arbeitsspeicher und rund 36 MB im virtuellen Speicher.

 2Performance.png ( 52.35KB ) Anzahl der Downloads: 54


Beim Scannen ist die Systembelastung beim Testsystem (XP SP3, P4 2,4Ghz, 1GB RAM) durch die Rav.exe allerdings deutlich zu spüren, sicher höher als bei avast home oder Avira Free.
Die Scandauer ist für 61742 Dateien mit knapp 19 Minuten für eine Partition mit OS und Programmen aber relativ kurz.
RAV erstellt beim Scan auch eine Whitelist mit allen sauberen Dateien.

Das Programm

Anmerkung: Da es sehr viele Fenster gibt, habe ich sie teilweise in GIF Animationen zusammengefasst.

Die Hauptfenster von RAV



Zum Zwecke der Zugriffskontrolle auf die Einstellungen muss man öfter mal einen Sicherheitscode eingeben.

 3Sicherheitscode.png ( 11.44KB ) Anzahl der Downloads: 14


Ich habe bis jetzt keinen Weg gefunden, diese Abfrage zu deaktivieren.
Gerade beim Testen nervt das doch etwas, beim normalen Betrieb allerdings sicher weniger.

Im Wesentlichen besteht RAV also aus:

• den AV Teilen Scan und Auto-Protect.

In Auto-Protect sind der Dateimonitor (Datei AV), der Email Scan (Mail AV) und ein Skriptschutz enthalten, dieser soll die Skriptausführung im Browser überwachen, also quasi die Aufgabe des Web AV übernehmen. Ein echter http Scanner fehlt allerdings.

• und dem Proaktiven Schild mit den Modulen

- HIPS (Systemabsicherung)
- dem Verhaltensblocker (Verhaltenskontrolle)
- der Anwendungskontrolle (um Programmen den Zugriff auf kritische Systemfunktionen zu verbieten)
- dem Anwendungsafe (um den unerwünschten Zugriff auf bestimmte Programme zu verhindern)
- und der Programmstart Kontrolle (um eben den Start bestimmter Programme zu überwachen).



Systemabsicherung und Verhaltenskontrolle lassen sich jeweils in drei Stufen einstellen.
Die Verhaltenskontrolle arbeitet nach der Beschreibung mit einer 'Smart Virtual Machine'.
Das HIPS kann man auch manuell konfigurieren, es bietet dazu eine große Zahl an Überwachungsparametern an:



Sehr gut gelöst, da man "sein eigenes" HIPS konfigurieren kann.
Unverständlich ist aber, dass man nicht mehrere selbsterstellte Profile speichern und bei Bedarf laden kann, wie z.B. eines für unbekannte Anwendungen, eines für Installationen von Treibern usw.

Die Logs von RAV sind sehr detailliert.

 7Logs.png ( 9.21KB ) Anzahl der Downloads: 19


Für jede Programmkomponente werden die Ereignisse separat festgehalten, bei den Tests dann mehr davon.

Die Updates gehen relativ flott.

 8Update1.png ( 5.38KB ) Anzahl der Downloads: 13


Sämtliche Updates des Programms kamen bei mir von einem Server aus China.
Ähnlich wie bei Avira wird der Schutz dabei (manchmal?) angehalten.

 8Update2.png ( 14.06KB ) Anzahl der Downloads: 11


Das ist einmal ein RAV Überblick, allerdings sind da noch einige Funktionen, die man sich eigentlich noch näher ansehen sollte, wie z.B. die Anwendungskontrolle, der Anwendungsafe und die Programmstart Kontrolle.

Malwaretests

Die Virenscanner einiger Free AVs mit 5963 Schadprogrammen getestet
avast home 98,34%, Avira Free 98,07%, Rising AV Free 96,66%
Na, geht so. Eine blinde Kuh ist der Löwe aus Fernost nicht.

Das Proaktive Schild mit den Voreinstellungen getestet:

Multi-Admin-Tool.exe http://www.virustotal.com/de/analisis/964d...f2a53f309e6d258

Praktischerweise erkennt Rising den Trojaner nicht (NOD32 auch nicht...)
Anmerkung: der eigentliche Trojaner, die sys32.exe wird im SYSTEM32 Verzeichnis erstellt, gestartet und soll den Explorer verseuchen.

Beim Start erscheint eine Fehlermeldung:

 9MAT.png ( 7.47KB ) Anzahl der Downloads: 31


aber im Taskmanager läuft die sys32.exe.
Im Log findet man dann allerdings die erkannten und verhinderten Aktionen:
Speicher des Zielprogramms ändern C:\WINDOWS\SYSTEM32\SYS32.EXE C:\WINDOWS\EXPLORER.EXE
Remote Thread starten C:\WINDOWS\SYSTEM32\SYS32.EXE C:\WINDOWS\EXPLORER.EXE
Der Prozess läuft zwar, aber das RAV HIPS blockt die schädlichen Aktionen der sys32.exe.

cncc.exe http://www.virustotal.com/de/analisis/64a6...5e1f615cf2a58ee

Diesen Trojaner erkennt RAV, also habe ich Auto-Protect für den Test deaktiviert.
Die cncc.exe will mit der regsvr32.exe die wvps.dll als Explorererweiterung anbringen.
Das HIPS blockiert das Anhängen aber auch diesmal in der Voreinstellung:
Speicher des Zielprogramms ändern C:\WINDOWS\SYSTEM32\REGSVR32.EXE C:\WINDOWS\EXPLORER.EXE
Remote Thread starten C:\WINDOWS\SYSTEM32\REGSVR32.EXE C:\WINDOWS\EXPLORER.EXE

Positiv muss man hier festhalten, dass bei beiden Tests alles vollkommen im Hintergrund ablief, der Benutzer wird also in der Grundeinstellung des Proaktive Schildes sicher nicht mit vielen Meldungsfenstern überfordert.
Wenn man nicht in die Logs schaut, schützt RAV hier völlig unbemerkt.

Dann habe ich das Proaktive Schild scharf eingestellt:
Systemabsicherung Hohe Sicherheitsstufe, Verhaltenskontrolle Hohe Stufe

Wieder das Multi-Admin-Tool
Und wieder die Fehlermeldung beim Start, aber die Systemabsicherung meldet die sys32.exe nun und deren Ausführung kann geblockt werden.

 10MAThigh.png ( 7.56KB ) Anzahl der Downloads: 30


cncc.exe

Auch jetzt wird zuerst die Systemabsicherung aktiv und bemängelt die Registrierung der wvps.dll.

 10CNCC1high.png ( 7.78KB ) Anzahl der Downloads: 23


Und dann meldet sich auch noch die Verhaltenskontrolle mit dem Hinweis, dass diese cncc.exe ein Tunichtgut ist.

 10CNCC2high.png ( 6.22KB ) Anzahl der Downloads: 25


Schlechte Nachrichten gibt es für Ad- und Spyware.
Diese Erkennung ist anscheinend wie bei Avira nur in der Vollversion von RAV enthalten.
Bei einer Datei mit zwei Adwarekomponenten, bei der avast mehrfach warnt, erkennt RAV in der Voreinstellung nur eine verdächtigen Autostart.

 11Adware.png ( 7.83KB ) Anzahl der Downloads: 16


Mein Resümee

Rising Antivirus ist eigentlich eine dezente Untertreibung.
AV + HIPS + Verhaltensblocker + Virtualisierung + Tools um private Daten zu schützen usw.
Eigentlich fehlt nur noch eine 'einfache' Firewall wie die PC Tools Firewall zur kostenlosen Suite.

Betrachtet man nur die Features, dann ist die Freeware Konkurrenz avast und Avira weit hinten.
Wenn man nur die Erkennungsrate des AV zum Maßstab nimmt, dann ist Rising wieder hinten.
Müsste ich mir aber als einziges Schutzprogramm eines der drei Kostenlosen (avast, Avira, Rising) aussuchen, ich würde sofort RAV nehmen.

MfG

Der Beitrag wurde von subset bearbeitet: 18.07.2008, 02:11

[Alexander Robrec...]

danke schön