Druckversion des Themas

Geschrieben von: uweli1967 20.09.2011, 20:16

Da wir ja hier in einem Security Forum sind würde ich gerne die Wissenden hier fragen: Ist ThreatFire noch zeitgemäß? kann es noch mit anderen BehaviorGuards bzw. HIPS'en mithalten oder versagt es bei was weiß ich von Arten von Malware bei der andere Verhaltenschutz Programme/Module eben nicht versagen?

Geschrieben von: Solution-Design 20.09.2011, 20:26

Mach dir ein Bild http://www.kernelmode.info/forum/viewtopic.php?f=11&t=586

Geschrieben von: uweli1967 20.09.2011, 20:33

Und das heisst jetzt für mich der bestimmt kein PC/Security Fachmann ist das ThreatFire schlecht programmiert sei bzw Solution-Design kannst du mir das mal so "übersetzen" bzw. erklären das ich es auch verstehe was in dem anderen Forum geschrieben wurde?

Geschrieben von: Solution-Design 20.09.2011, 20:36

Meine Antwort lautet http://www.emsisoft.de/de/order/mamutu/

Geschrieben von: metabolit 20.09.2011, 20:39

Immer diese teuren Tips

Mamutu = 12,99 Euro

https://www.cleverbridge.com/421/?cart=71831&currency=EUR&scope=checkout&cookie=true&enablecoupon=false&continueurl=http%3A//store.brothersoft.com&affiliate=6041&cfg=brothersoft

Geschrieben von: uweli1967 20.09.2011, 20:44

Davon hätte ich ja auch noch eine Lizenz hier Aber eines verstehe ich ja doch nicht: vor ein paar Wochen gab es die Sache mit dem Fake Antivirus das sich auch täglich änderte. Warum wurde das beim Ausführenversuch nicht von Avast mit VS, nicht von AVG mit IDP, nicht vom AntiLogger und auch nicht von Comodo Defense+ erkannt? aber von ThreatFire wurde es erkannt. Wenn doch TF so schlecht sei, warum "versagten" dann die anderen Programme/Module bei dem Fake

Geschrieben von: SLE 20.09.2011, 21:36

Erstmal war es nur ein Beispiel. Das findest du für jede Lösung. Zweitens war das damalige Ding nicht schädlich - eine Verarschungssoftware ok, mehr nicht.

Zum von @SD verlinkten - das hatte ich dir hier irgendwo (Threatfire-Thread) schon mal auf deutsch erklärt. Schlecht programmiert, leicht aushebelbar, nicht patchbar. Vom technischen Punkt also nicht zu empfehlen. Das derzeit noch wenig Malwareautoren von der leichten Möglichkeit dieses Ding auszuknipsen ist aber auch eine Tatsache.

Vom anderen: Bei Threatfire ist es immer etwas undurchsichtig, mal scheint es so als steht die Entwicklung, dann kommt wieder ein Update etc. Transparent ist das nicht. Da ist man bei Mamutu schneller beim Weiterentwickeln und anpassen.

Realitätsbezug (aktuelle Malware) und ggf. Vergleich zu anderen Verhaltensblockern: Kenne ich keine aktuellen Tests.

Geschrieben von: uweli1967 20.09.2011, 22:32

SLE, ich schätze da mischt auch Symantec mit die ja PC Tools aufgekauft haben. Davor gab es öfters neue Versionen auch von TF und der PCT Firewall. Schade eigentlich dass sich das so entwickelt hat. Blöd finde ich auch wenn sich jemand ThreatFire runterladen will, bekommt er auf der offiziellen ThreatFire Seite und bei Portalen wie Chip, CB Computerbase usw. nicht die neueste Version von ThreatFire sondern nur die Version 4.7.0.17 wie man bspw. hier: http://download.cnet.com/ThreatFire-AntiVirus-Free-Edition/3000-2239_4-10726873.html?part=dl-6257086&subj=dl&tag=button sehen kann. Die "neueste" Version 4.7.0.53 jedoch findet man nur hier: http://www.pctools.com/forum/showthread.php?68805-Release-of-ThreatFire-v4.7.0.53&p=238348#post238348

Geschrieben von: Voyager 20.09.2011, 22:35

Ist halt so im Kapitalismus , die Konkurenz wird aufgekauft um sie zu beerdigen

Geschrieben von: uweli1967 20.09.2011, 22:39

Ja leider Voyager, aber ganz beerdigen tut ja Symantec PC Tools und TF sowie die PCT FW nicht, beide(TF und FW) leben ja noch ich frag mich, warum Symantec TF und die PCT FW nicht komplett eingestampft hat
Was mich aber wirklich interessieren würde: ist TF in der Lage aktuelle Malware wie diverse Rootkits, Zeus Trojaner und wie die alle heissen zu erkennen und zu stoppen? und bei welchen dieser "Viecher" würde TF versagen wo zum Beispiel Mamutu oder Norton usw. nicht versagen?

Geschrieben von: fenriz 21.09.2011, 01:02

Ich sage, installiert euch Kaspersky Internet Security 2012 und ihr seit aller Sorgen ledig.

Geschrieben von: flachbrot 21.09.2011, 09:28

Wooow...der Beitrag war so hilfreich und gehaltvoll wie ne Milchschnitte.

Geschrieben von: fenriz 21.09.2011, 14:51

@flachbrot probiere es aus und wirst sehen es ist besser als Milchschschnitte

Geschrieben von: uweli1967 21.09.2011, 14:54

Dein Wunsch sei mir Befehl

Geschrieben von: SLE 21.09.2011, 15:10

Schnelltest: Threatfire und Mamutu im Vergleich gegen ausgewählte Schadsoftware.
Norton habe ich nicht mitgetestet, da es hier schwer bis unmöglich ist SONAR allein als BB zu testen, zum zweiten ist der Einsatz so nicht vorgesehen.
__
Testumgebung:
- VM (Vbox) Win7x86-SP1 aktuell.
- Getestete Software die einzige installierte Securitysoftware. Zurücksetzen der VM nach jedem Einzeltest.

Produkte und Einstellungen:
- Threatfire (v4-7-053): Standardeinstellungen (Level 3), bei einem Fail wurde der Test nochmal mit Level 5 wiederholt, um zu sehen ob sich hier ein anderes Ergebnis zeigt.
- Mamutu (v3-0-019): Paranoid-Modus aktiviert. Da automatische blocken/erlauben gemäß der Communityentscheidungen deaktiviert.

Da natürlich wenige getestete Samples nie einen Gesamtüberblick über die Schutzwirkung eines Produktes erlauben, und man sich deshalb immer die Relevanzfrage stellen muss, wurde sich auf recht aktuelle, nachweislich gefährliche und verbreitete Samples konzentriert.
__
Ergebnisse:
(1) Rootkit-TDL4. http://www.virustotal.com/file-scan/report.html?id=9fb7376967dcf30a8ead9911776acf26804f2d520eb1832f62e1892218c1baaa-1316611793 | http://www.threatexpert.com/report.aspx?md5=ce08a9239d88d7165ac55039b5b9083e

Threatfire: Erkennt immerhin, dass sich der Dropper mehrfach kopieren will. Weitere Verhaltensweisen des Rootkits nicht erkannt.
http://www.abload.de/image.php?img=tftdl4l3z76u.jpg
Mamutu: Warnungen vor rootkitähnlichem Verhalten & vor direktem Festplattenzugriff (MBR).
http://www.abload.de/image.php?img=mmtdl41n7km.jpg http://www.abload.de/image.php?img=mmtdl4267i4.jpg

(2) Rootkit-ZeroAccess. http://www.virustotal.com/file-scan/report.html?id=0a26afbcfb8fafa3468bb7bf89a35b1d6527e123fb002e1d10f89ecd9af137b7-1316613234 | http://www.threatexpert.com/report.aspx?md5=207da9df62e772e5c5c9b99ab68448ba

Threatfire: keinerlei Meldung.
*Will ich bei Gelegenheit nochmal auf einem realen System prüfen...

Mamutu: Erkennt die Manipulation aktiver Prozesse.
http://www.abload.de/image.php?img=mmzaccessg7ix.jpg
*Man beachte: Community-Empfehlungen sind nicht immer sinnvoll...

(3) Trojaner-SpyEye. http://www.virustotal.com/file-scan/report.html?id=7e055d2bf9fd49d0c5f9a53a980f030e5d443fee97e1b9ef928369dd89e6b0f0-1316613709 | http://www.threatexpert.com/report.aspx?md5=5e2d886f925a3648157dbd09992b9a9e

Threatfire: Prozessmanipulation erkannt.
http://www.abload.de/image.php?img=tfspyeyel3z7md.jpg
Mamutu: Prozessmanipulation erkannt.
http://www.abload.de/image.php?img=mmspyeye1r79l.jpg http://www.abload.de/image.php?img=mmspyeye2n7zc.jpg

(4) Ransom-WinLock http://www.virustotal.com/file-scan/report.html?id=c29c00797aa5295951212dfc522d5f2a59b4ff3992a8d8c6e9d7a20fcace506c-1316611869 | http://www.threatexpert.com/report.aspx?md5=1c6fe4f24e3bf810a16c154b6b5d698f

Threatfire: Erkennt (je nachdem wieviel man erlaubt :-) ) die Prozessmanipulation, das kopieren an mehrere Orte sowie das Eintragen in den Autostart.
http://www.abload.de/image.php?img=tfwinlockl31x7cb.jpg http://www.abload.de/image.php?img=tfwinlockl3277f2.jpg http://www.abload.de/image.php?img=tfwinlockl33b7g9.jpg http://www.abload.de/image.php?img=tfwinlockl34e7lj.jpg
Mamutu: Prozessmanipulation erkannt.
http://www.abload.de/image.php?img=mmwinlock1s7tq.jpg

Fazit:
Mamutu erkannte im Schnelltest mehr, Threatfire war oft detaillierter und schlägt sich auch beachtlich. Dies soll und kann natürlich nicht über technische Unzulänglichkeiten der Programmierung (s.o.) hinwegtäuschen. Ob jeder Nutzer mit den Medlungen beider Programme zurechtkommen und die richtigen Entscheidungen treffen würde ist auch ein anderes Thema.

Geschrieben von: Paul12 21.09.2011, 15:11

Nicht mehr zeitgemäß trifft es schon.Was kann ThreatFire was die heutigen Virenscanner nicht auch können.So gar wer Freeware wie Avast oder AVG nutzt,benötigt dieses Programm nicht mehr.

Geschrieben von: SLE 21.09.2011, 15:14

Eine ganze Menge: Teste mal proaktiv Avira, Avast etc. gegen die ausgewählten Samples. TF ist Verhaltensschutz noch immer besser als implementierte Lösungen vieler Hersteller.

Geschrieben von: uweli1967 21.09.2011, 15:29

Ich sage jetzt mal eines ganz deutlich und das meine ich auch ehrlich so: Danke für den Schnelltest Sebastian
Also ist ThreatFire gar nicht so schlecht in Sachen Malwareerkennung aber es ist wohl nicht so gut geschrieben/programmiert wie bspw. Mamutu.

Das hab ich damals ja auch mit dem harmloseren Fake getestet und zuvot mit dem heftigeren Fake von dem Malwarebytes 800 Infektionen fand und bereinigte. Egal ob Avast VS, AVG mit IDP oder Defense+ oder auch beim zweiten harmloseren Fake AntiLogger, die genannten Schutzmechanismen der Programme mucksten sich nicht als ich die Fakes ausführen wollte. Wohl aber ThreatFire meldete sich bei beiden Fakes und AntiLogger auch beim ersten "schlimmeren" Fake.

Geschrieben von: uweli1967 21.09.2011, 15:34

Eine Frage hätte ich aber noch Sebastian: wäre Mamutu genauso gut gewesen bei deinem Schnelltest wenn du den Paranoid Modus der ja standardmäßig deaktiviert ist, deaktiviert gelassen hättest? Oder hätte ThreatFire besser abschneiden können wenn du bei ThreatFire den Level von 3 auf meinetwegen 5 erhöht hättest? denn ich kann mir vorstellen(weiß es aber nicht)dass ThreatFire in einem höheren Level in etwa so reagieren kann wie Mamutu mit Paranoid Modus. Oder liege ich mit dieser Theorie daneben?

Geschrieben von: Paul12 21.09.2011, 15:39

Mittelst Test lässt sich immer einiges krumbiegen. Würde aber trotzdem z.B. bei Avast free bzw.AVG free keine Programmteile deaktivieren,damit Threatfire auf dem Rechner keine Probleme
macht. Der Verhaltenschutz dieser Freeware ,besonders von AVG ist ausreichend.

Geschrieben von: uweli1967 21.09.2011, 15:43

Paul12 ich würde diese Module nicht erst deaktivieren sondern gleich bei der Installation abwählen. Und ganz ehrlich: ich hatte schon mehr als einmal AVG installiert gehabt auch mit IDP, aber ich sah dieses Modul noch nie in Aktion bei mir.

Geschrieben von: Steinlaus 21.09.2011, 16:04

Sei doch froh...


@flachbrot, da ist ein Knäckebrot aber wesentlich gehaltvoller... Knäckebrot Total Security.

Geschrieben von: Paul12 21.09.2011, 16:09

Du hast wohl noch die Berliner Wahl im Kopf mit abwählen. Ob vor oder nach der Installation kann man Programmteile aktivieren oder deaktivieren.

Geschrieben von: uweli1967 21.09.2011, 16:15

Paul12, es ist glaube ich schon ein Unterschied ob ein Modul erst gar nicht mitinstalliert wird oder ob es nach der Installation deaktiviert wird. Variante 3 ist die: man installiert zuerst das Modul mit und deinstalliert es später per Änderungsinstallation.

Geschrieben von: Paul12 21.09.2011, 16:35

"Würde aber trotzdem z.B. bei Avast free bzw.AVG free keine Programmteile deaktivieren". @uweli1967 diesen Satz habe ich geschrieben.Wo siehst du hier,ob ich es vor oder nach der Installation
mache? Du musst,wenn einer AVAST ,schreibt nicht immer gleich den Schulmeister rauskehren.

Geschrieben von: uweli1967 21.09.2011, 16:40

Paul, ich hänge keinen Schulmeister raus, nur ist es meiner Meinung nach ein Unterschied ob ein Modul mitinstalliert wird oder nicht oder ob es mitinstalliert wurde und dann deaktiviert wurde. Darauf ziele ich ab und auf sonst nichts.

Geschrieben von: claudia 21.09.2011, 16:43

@Uweli1967

das IDP Modul ist doch doch das beste an der AVG Free. Wenn´s einzeln gäb würde ich es sofort installieren und Threatfire und Mamutu vorziehen.

Sebastian sehr schöner Test, aber Mamutu in der Paranoid Modus und Threatfire in Stufe 3 ist nicht ganz fair.

Edit

Sebastian wenn du langweile hast wäre es schön Zemana, SpyShelters und D+ Test hinterher zu schieben

Geschrieben von: uweli1967 21.09.2011, 16:51

claudia, ich kann das nicht beurteilen, zumindest sah ich es noch nicht bei mir in Aktion und erlaube mir von daher auch kein Urteil über IDP. Stimmt es eigentlich das AVG's IDP von Norton Antibot abgeleitet ist bzw von der Software die damals Norton kaufte und zu Antbot weirerentwickelte?

Vielleicht zieht Sebastian ja nochmal nach und deaktiviert den Paranoid Modus bei Mamutu oder aber er "verschärft" TF auf einen höheren Level

Geschrieben von: uweli1967 21.09.2011, 16:54

claudia du hast das HIPS von OA vergessen zu erwähnen

Geschrieben von: claudia 21.09.2011, 16:55

Ja ist der Nachfolger von AntiBot.
Das hast du bestimmt schon in Aktion gesehen aber nicht richtig zugeordnet.
Eicar Zip und schon siehst du es in Aktion

Geschrieben von: Habakuck 21.09.2011, 16:59

Habe mich bei SLE's Test auch gefragt warum Mamutu im Paranoid Modus getestet wurde...

Da gibt es schon arg viele PopUps daher wird das kaum jemand so laufen lassen..

Geschrieben von: claudia 21.09.2011, 16:59

nö, ich wollte nur nicht unverschämt rüberkommen.
Wobei BB und HIPS da noch eine ganze Reihe von Möglichkeiten gäbe.

Geschrieben von: uweli1967 21.09.2011, 17:00

Klar fiel mir bei AVG und eicar schon auf das da was greift aber ich hatte nicht erkannt das es IDP war egal, ich finde, da könnte AVG nen Ticken schneller sein, dauert immer ein paar Sekunden bis es aufpoppt und fragt was man machen will/soll.

Geschrieben von: claudia 21.09.2011, 17:03

Bei mir läuft es im Paranoid Modus, aber wenn ich was installiere schalte ich es eine Stufe runter. (meistens jedenfalls)

Geschrieben von: claudia 21.09.2011, 17:05

bei der "normalen" Eicar greift das AV (Signatur), bei der Zip das IDP

Geschrieben von: uweli1967 21.09.2011, 17:05

Übertreiben sollten wir es nicht claudia sonst packt Sebastian noch seine Keule aus und wir haben danach Kopschmerzen. Vielmehr fand ich es schön von Sebastian, überhaupt den jetzigen Test gemacht zu haben.

Geschrieben von: claudia 21.09.2011, 17:10

Sebastian wird schon wissen wenn Frauen Kopfschmerzen haben was das bedeutet

Geschrieben von: Steinlaus 21.09.2011, 17:30

..schon etwas älter, aber nur zum Vergleich.

http://subsetlines.wordpress.com/vergleichstests/verhaltenserkennung/

Geschrieben von: Paul12 21.09.2011, 18:12

Na ja,Mitte 2009,da stand ich auch noch auf ThreatFire.

Geschrieben von: uweli1967 21.09.2011, 22:24

Das glaub ich jetzt aber fast nicht ich hab vorhin auf unserem alten kaum noch benutzten Notebook Norton Antibot installiert mitsamt den Massen Volumenkey von der CB damals und es liess sich tatsächlich noch damit aktivieren und läuft auf dem Notebook und als ich auf Aktualisierungen überprüfen klickte wurde mir angezeigt es sei bereits die aktuelle Version installiert. Sagt mal, ist Norton Antibot nicht schon eingestampft? dafür dürfte es doch keine Aktualisierungen/Updates mehr geben, oder?
http://www.abload.de/image.php?img=unbenannt15oht.jpg http://www.abload.de/image.php?img=unbenannt2yokc.jpg http://www.abload.de/image.php?img=unbenannt3uo3b.jpg

Geschrieben von: Paul12 21.09.2011, 22:38

Du solltest dein Anliegen vielleicht mittelst Pm klären,oder wem spriechst du hier an.

Geschrieben von: uweli1967 21.09.2011, 22:41

Die User hier in Rokop, Paul12.

Geschrieben von: SLE 21.09.2011, 22:57

Wie oben geschrieben:
- Wenn Threatfire durchgefallen war (ZeroAccess) habe ich den Test nach zurücksetzten der VM mit Level 5 wiederholt - gleiches Ergebnis. Also Threatfire bekam die Chance auf höchstem Level. Steht ganz klar oben.
- Mamutu: Kann ich mal nachtesten ohne Paranoid-Modus. Das Ergebnis sollte gleich sein.
Beide Einstellungen (TF-Level, Mamutu Paranoid) beziehen sich in großen Teilen darauf inwieweit vertrauenswürdigen Anwendungen (System, Signaturen...) gewisse Privelegien eingeräumt werden. Hier irrelevant.


Nicht ganz die passende Kategorie, aber bei Gelegenheit vielleicht. Aber seehr wahrscheinlich ohne D+. Wobei: Bei Zemana und Spyshelter müsste man fast andere Malware nehmen, wo sich diese Produkte garantiert verabschieden


Wo wurde krumgebogen??? Ich habe auch nichts gegen AVG gesagt, nur gegen den Verhaltensschutz von Avira und auch immer noch von Avast. Da braucht man nichts biegen. Und deine Ursprungsaussage moderne AVs können das alles ist definitiv falsch.

Geschrieben von: Paul12 21.09.2011, 23:18

Wenn du damit Avira free meinst hast du eventuell Recht,aber von Avira habe ich doch nicht gesprochen.Zu Zeit ist die Freeversion von ThreatFire überholt.
Virenscanner,die keiner hier kennt ,kann man damit vielleicht noch aufmotzen.

Geschrieben von: SLE 21.09.2011, 23:21

Edit: Ist exakt gleich in allen gezeigten Fällen. Es kommen diesselben Warnmeldungen.

Allerdings sollte man die intelligente Alarm Reduktion nicht aktivieren und auch bzgl. des Community Features ist oben eine Kritik versteckt :-)

Geschrieben von: claudia 21.09.2011, 23:22

Das ist seit knapp einem Jahr nicht mehr aktualisiert worden und so nicht (leider hab auch noch ein Jahreskey hier rumliegen) nicht mehr auf der Höhe der Zeit! Das AVG Modul ist da sehr viel weiter!

Geschrieben von: uweli1967 21.09.2011, 23:44

claudia, was mich am meisten gewundert hat war die Tatsache als ich auf Aktualisierungen prüfen ging, dass da dann etwas stattgefunden hat. Ich hätte ehrlich gesagt damit gerechnet das eine Meldung kommt wie: "Die Server sind nicht mehr erreichbar, es ist keine Aktualisierung möglich" oder so etwas in der Art.

Geschrieben von: uweli1967 22.09.2011, 00:19

claudia, hättest du das mal lieber nicht geschrieben ich hab da was gefunden: http://www.giveawayoftheday.com/soft/5789642/ klick dort mal auf Download AVG Identity Protection 8.5 das funktioniert tatsächlich, aber fraglich ist ob du dafür noch eine Lizenz bekämst und ob diese Version auch die neuesten Programm Updates bekäme.

Geschrieben von: Steinlaus 22.09.2011, 19:08

Glaube AVG Identity Protection wird gar nicht mehr vertrieben! Die letzte Version war glaube ich 9.0.

Geschrieben von: uweli1967 22.09.2011, 19:33

Es wird auch nicht mehr vertrieben wage ich zu behaupten Steinlaus. Ich hatte mal die Version runtergeladen die ich claudia verlinkte und dann installiert. Es ist eine 30 Tage Testversion und wenn man auf Aktulisieren klickt, gibt es auch nichts erst recht kein Programm Upate. Klickt man auf Lizenz erwerben, wird man direkt auf die AVG 2012er Seite verlinkt und natürlich kann man dafür keinen Norton Antbot Key oder AVG AV Pro/IS Key verwenden. Sprich es(IDP Standalone)ist leider nicht mehr(vernünftig) einsetzbar.

Geschrieben von: SLE 23.09.2011, 09:21

Ergänzung: Zemana Anti-Logger und Spyshelter im Vergleich gegen ausgewählte Schadsoftware

Hinweis: Beide Programme wollten in der Win7VM nicht so richtig laufen. Da ich für detaillierte Fehleranalysen derzeit keine Zeit habe, habe ich sie unter XP getestet. Dies ist unbedingt bei der Vergleichbarkeit mit den oben geposteten Ergebnissen zu bedenken.
__
Testumgebung:
- VM (Vbox) WinXPx86-SP3 aktuell.
- Getestete Software die einzige installierte Securitysoftware. Zurücksetzen der VM nach jedem Einzeltest.

Produkte und Einstellungen:
- Zemana Anti Logger (v1-92-523): Standardeinstellungen dahingehend verändert, das nur MS Signaturen vertraut wird (sog. Experteneinstellungen)
- SpyShelter Free (v5-42): Standardeinstellungen (High Security Level). Englische Sprache aktiviert, um die Popups vernünftig lesen zu können...

Da natürlich wenige getestete Samples nie einen Gesamtüberblick über die Schutzwirkung eines Produktes erlauben, und man sich deshalb immer die Relevanzfrage stellen muss, wurde sich auf recht aktuelle, nachweislich gefährliche und verbreitete Samples konzentriert. Selbe Samples wie oben...
__
Ergebnisse:
(1) Rootkit-TDL4. http://www.virustotal.com/file-scan/report.html?id=9fb7376967dcf30a8ead9911776acf26804f2d520eb1832f62e1892218c1baaa-1316611793 | http://www.threatexpert.com/report.aspx?md5=ce08a9239d88d7165ac55039b5b9083e

Zemana: Keinerlei Meldung, System wird infiziert. Fail

Spyshelter: Erkennt die Treiberinstallation über den Druckspooler (spoolsrv). (Der MBR Zugriff wird jedoch nicht gemeldet.) bestanden
http://www.abload.de/image.php?img=sstdl41acz9.jpg http://www.abload.de/image.php?img=sstdl42pd2x.jpg http://www.abload.de/image.php?img=sstdl43oe4l.jpg http://www.abload.de/image.php?img=sstdl443eh4.jpg

(2) Rootkit-ZeroAccess. http://www.virustotal.com/file-scan/report.html?id=0a26afbcfb8fafa3468bb7bf89a35b1d6527e123fb002e1d10f89ecd9af137b7-1316613234 | http://www.threatexpert.com/report.aspx?md5=207da9df62e772e5c5c9b99ab68448ba

Zemana: Keinerlei Meldung, System wird infiziert. Fail

Spyshelter: Erkennt die Prozessmanipulation und auch einiges was die manipulierte explorer.exe so anstellt. bestanden
http://www.abload.de/image.php?img=sszaccess13ch9.jpg http://www.abload.de/image.php?img=sszaccess22fkn.jpg http://www.abload.de/image.php?img=sszaccess3aeex.jpg http://www.abload.de/image.php?img=sszaccess44fyv.jpg http://www.abload.de/image.php?img=sszaccess5xe4a.jpg http://www.abload.de/image.php?img=sszaccess6jdr2.jpg http://www.abload.de/image.php?img=sszaccess7yea0.jpg

(3) Trojaner-SpyEye. http://www.virustotal.com/file-scan/report.html?id=7e055d2bf9fd49d0c5f9a53a980f030e5d443fee97e1b9ef928369dd89e6b0f0-1316613709 | http://www.threatexpert.com/report.aspx?md5=5e2d886f925a3648157dbd09992b9a9e

Zemana: Prozessmanipulation erkannt. bestanden
http://www.abload.de/image.php?img=zspyeye1bfrx.jpg http://www.abload.de/image.php?img=zspyeye2mfai.jpg

Spyshelter: Prozessmanipulation erkannt. bestanden
http://www.abload.de/image.php?img=ssspyeye1re6c.jpg http://www.abload.de/image.php?img=ssspyeye2geas.jpg http://www.abload.de/image.php?img=ssspyeye40cqy.jpg http://www.abload.de/image.php?img=ssspyeye53f4r.jpg http://www.abload.de/image.php?img=ssspyeye67fvq.jpg

(4) Ransom-WinLock http://www.virustotal.com/file-scan/report.html?id=c29c00797aa5295951212dfc522d5f2a59b4ff3992a8d8c6e9d7a20fcace506c-1316611869 | http://www.threatexpert.com/report.aspx?md5=1c6fe4f24e3bf810a16c154b6b5d698f

Zemana: Erkennt die Prozessmanipulation und nach deren erlauben, wenn der Locker schon läuft auch noch das Eintragen in den Autostart bestanden
http://www.abload.de/image.php?img=zwinlock1oq4c.jpg http://www.abload.de/image.php?img=zwinlock25qf6.jpg

Spyshelter: Prozessmanipulation erkannt. bestanden
http://www.abload.de/image.php?img=sswinlock19ca7.jpg http://www.abload.de/image.php?img=sswinlock22dw5.jpg

Fazit:
Zemana offenbarte selbst in diesem Schnelltest offenkundige Schwächen, um als Alternative zu irgendwelchen HIPSen oder Verhaltensblockern angesehen werden zu können. Man bleibt also allenfalls in der selbstdefinierten Nische "AntiLogger"...können aber andere auch.

Spyshelter verbirgt etwas verschachtelt hinter den ganzen AntiAntiAnti-Bezeichnungen einiges an überwachten Systemaktivitäten. Das Programm fällt definitiv eher in die Kategorie (Mini)HIPS.
Bezüglich der Popups muss man anmerken: Ob der Nutzer richtig entscheiden kann ist fraglich, ein paar nette Sachen sind aber definitiv integriert (VT-Checkup; Installationsmodus...). Schade finde ich, dass in den Popups (quasi da wo es drauf ankommt) nur die Zahlenkürzel für die jeweiligen Aktivitäten gelistet sind - nicht hilfreich.

Geschrieben von: Schattenfang 23.09.2011, 09:39

sehr schöne tests von dir sebastian! ich bin sehr an deiner meinung zur aktuellen panda internet security 2012 interessiert. wenn du mal zeit und lust haben solltest, dir das programm näher anzuschauen und ein wenig auf herz und niere zu testen würd ich mich sehr freuen. natürlich dann in dem entsprechenden thread:
http://www.rokop-security.de/index.php?showtopic=21281&pid=342458&st=40&#entry342458

ansonsten zum thema: spyshelter hat insgesamt keinen schlechten ruf, aber es gibt halt noch bessere alternativen auf dem marktsegment. zu zemana sag ich lieber nichts, die gehören definitiv zu einen meiner lieblingsläden

Geschrieben von: claudia 23.09.2011, 10:23

Danke Sebastian.
Ich liebe diese Test und finde die immer interessanter als jeden "Groschen Roman"

Es gibt von SpyShelter eine Vers. 6 Beta

Changelog;

- Registry-Schutz wurde für verbesserte 64bit und 32bit
- Jetzt ist es zeigt Registry Kategorie in Alarm-Fenster
- Verbesserte AntiNetworkSpy Schutz
- Verbesserte System-Schutz für 32-Bit-OS
- Kleine Änderungen am GUI

Hört sich jedenfalls recht gut an.

Geschrieben von: uweli1967 23.09.2011, 10:39

Tja claudia hat schon alles gesagt bezüglich Sebastian es ist echt schön solche User zu haben, die das Know-how und die Lust dazu haben solche Test's zu machen und uns diese mitzuteilen
Bezüglich SpyShelter 6 Beta: hier: http://spyshelter.com/beta.php gibt es die SpyShelter 6 Beta Preumium Version zum downloaden.

Geschrieben von: SLE 23.09.2011, 13:11

Sicher?

Ich habe mir eben nochmal AVG Free 2012.0.1809 in der XP-VM angesehen, um IdentityGuard gegen die gewählten 4 Samples zu testen.
Per Signatur werden alle 4 von AVG erkannt:
http://www.abload.de/image.php?img=avgsamplesl7w1.jpg

Deshalb wurde für den Test der AV Teil (residenter Schutz) von AVG deaktiviert, um nur den Verhaltensblocker zu testen.
(Ehe Verschachtelungsaussagen kommen - per ProcessMonitor zeigt sich, das IDP arbeitet )
___

Ergebnisse:
(1) Rootkit-TDL4. http://www.virustotal.com/file-scan/report.html?id=9fb7376967dcf30a8ead9911776acf26804f2d520eb1832f62e1892218c1baaa-1316611793 | http://www.threatexpert.com/report.aspx?md5=ce08a9239d88d7165ac55039b5b9083e
Keinerlei Meldung, System wird infiziert. Fail

(2) Rootkit-ZeroAccess. http://www.virustotal.com/file-scan/report.html?id=0a26afbcfb8fafa3468bb7bf89a35b1d6527e123fb002e1d10f89ecd9af137b7-1316613234 | http://www.threatexpert.com/report.aspx?md5=207da9df62e772e5c5c9b99ab68448ba
Keinerlei Meldung, System wird infiziert. Fail
Das letzte Zeichen, bevor IDP sich verabschiedete:
http://www.abload.de/image.php?img=avgzeroaccessy7np.jpg

(3) Trojaner-SpyEye. http://www.virustotal.com/file-scan/report.html?id=7e055d2bf9fd49d0c5f9a53a980f030e5d443fee97e1b9ef928369dd89e6b0f0-1316613709 | http://www.threatexpert.com/report.aspx?md5=5e2d886f925a3648157dbd09992b9a9e
Keinerlei Meldung. Fail

(4) Ransom-WinLock http://www.virustotal.com/file-scan/report.html?id=c29c00797aa5295951212dfc522d5f2a59b4ff3992a8d8c6e9d7a20fcace506c-1316611869 | http://www.threatexpert.com/report.aspx?md5=1c6fe4f24e3bf810a16c154b6b5d698f

IDP meldet einen Trojaner. Das Popup wirkt zuerst wie eine Signaturerkennung:
http://www.abload.de/image.php?img=avgwinlock107yy.jpg
Was verwundert: Als Namensgebung wird die exakte Bezeichnung von Kaspersky (siehe auch VT Link) verwendet, nicht etwa die AVG eigene. Eine Erklärung dafür habe ich nicht...

Klickt man auf zulassen wird das System infiziert, klickt man auf Quarantäne erkennt man, dass es mehr war als eine Signaturmeldung und ein entsprechendes Rollback erfolgt. Der Explorer wird nach dem beenden nicht automatisch neu gestartet, nach einem Reboot ist das System jedoch intakt.
http://www.abload.de/image.php?img=avgwinlock2s7d2.jpg http://www.abload.de/image.php?img=avgwinlock3w7o2.jpg

Fazit:
Ernüchterndes und verwunderndes Ergebnis...
Habe vor Verwunderung nochmal alles gegengeprüft.

Geschrieben von: Paul12 23.09.2011, 14:16

Was sagt uns dein Test @SLE, AVG free ist gut,Erkennung mittels Virensignaturen sind immer noch inn und Erkennung über Verhaltensblocker...

Geschrieben von: uweli1967 23.09.2011, 14:21

Ich verstehe den Test von Sebastian so: schaltet er das AV Modul von AVG ab versagt IDP bei seinen Testfiles teilweise und zudem scheint IDP abzustürzen.

Geschrieben von: claudia 23.09.2011, 14:39

Oh man, sehr enttäuschend. Hätte ich so nicht im geringsten erwartet. Auch wenn´s nur 4 Sample sind und man daraus keine Aussage treffen sollte.

Mit das Modul ist weiter bezog ich auf AntiBot. Höhere Zahl an Verhaltensregeln.
Und im meinem Test schnitt es auch besser als Antibot ab.

Jedenfalls Danke Sebastian!!!

P.S.
at uweli

jetzt siehst du mal das Meldefenster von IDP

at Paul 12

Geschrieben von: uweli1967 23.09.2011, 14:53

ja claudia und du kräme dich nicht wegen AVG IDP

Geschrieben von: Paul12 23.09.2011, 15:19

Wieso AVG hat doch erstmal alles erkannt.

Wer testet den Virenscanner mit abgeschalteten AV-Modul. Wenn man das wichtigste Modul deaktiviert,wer kann sagen ob der Rest noch richtig arbeitet.

Geschrieben von: SLE 23.09.2011, 15:21

Mittlerweile erkennen alle vendors die Samples per Signatur - was hier aber nie Thema war.

Betrachtet(e) man aber die vielen Varianten die von den genannten 4 Bedrohungen in den letzten Monaten immer wieder auftauch(t)en ist das Bild ein anderes. Es waren immer Samples dabei, die von einigen nicht gleich erkannt wurden - im Verhalten waren sie jedoch ähnlich bis gleich. Ergo: Blockt xy das Verhalten schützt es auch schon ohne Signaturen. Proaktiv statt reaktiv eben.

Zum anderen: Wenn ein großer Hersteller mittlerweile nicht mal TDL3/4 proaktiv erkennt ist das in meinen Augen nicht so prickelnd.

Außerdem: Warum wechselst du die Argumentationsebene? http://www.rokop-security.de/index.php?showtopic=21530&view=findpost&p=342361 hast du gesagt Threatfire könne nichts, was die mittlerweile in vielen Produkten integrierten BBs nicht können, und das der BB von AVG free ausreiche. Selbst in so einem Minitest wird schon das Gegenteil gezeigt.


Man kann BBs nicht testen wenn Signaturerkennungen vorher anschlagen... Der "Absturz" ist Folge von ZeroAccess - das funktioniert so.


Hier wurde gar kein Virenscanner getestet - sondern nur die verhaltensbasierten Module. Wenn du magst, zeige ich dir das Versagen aber gerne mit einem Sample was AVG auch per Signatur noch nicht kennt

Wer sagt das der Rest noch funktioniert?
Logik, der Hersteller (der es groß in der GUI stehen hat) und entsprechende Prozessaktiviäten des Verhaltensblockers:

Geschrieben von: uweli1967 23.09.2011, 15:38

Danke für die Erklärung bzw Richtigstellung Sebastian also demzufolge "knipst" ZeroAccess das AVG IDP Modul aus
@Paul12
Du könntest ja AVG Free 2012 benutzerdefiniert installieren, das IDP Modul abwählen und stattdessen daneben ThreatFire, SpyShelter Free, Comodo FW mit Defense+ oder Online Armor Free installieren. Das wären so ein paar Freeware Alternativen zu AVG's IDP ohne dabei auf das eigentliche AVG Free 2012 verzichten zu müssen.

PS: Sebastian, jetzt würde nur noch Defense+ und Online Armor(Free)in deiner Testserie fehlen

Geschrieben von: SLE 23.09.2011, 15:46

Ist kein AVG Problem, ZeroAccess knipst vieles aus.


Warum denn??? Nur wegen einem Minitest? Und wenn dürfte man demnach Threatfire auch nicht nehmen: Bleibt einmal stumm (ZA) und erkennt einmal nicht das wirkliche Verhalten (TDL). Und warum dann noch ein HIPS?


HIPSe passen hier nicht wirklich dazu, selbst die Zwischendinger Spyshelter und Zemana waren grenzwertig. Daneben weiß ich dass 3/4 garantiert gemeldet werden, beim 4. bin ich relativ sicher. HIPS halt: Was der User draus macht ist eine andere Frage.

Geschrieben von: Paul12 23.09.2011, 15:49

Diese Aussage ist falsch.Ich meinte, wenn ich AVG free auf dem Rechner habe muss ich nicht unbedingt noch ThreatFire installieren.
Wie du ja zeigtest,ist die Erkennung von AVG mittels Signatur nicht schlecht.

@SLE ich will nicht deine Test infrage stellen.Was du mit abschalten des AV-Moduls zeigen wolltest,ist mir schon klar.
Aber mir ist auch klar,wenn man 4 Sample aussucht,kann man mittels Test letztendlich jeden Virenscanner alt aussehen lassen.

Geschrieben von: Paul12 23.09.2011, 15:49

Diese Aussage ist f...Ups Doppelpost.

Geschrieben von: uweli1967 23.09.2011, 15:49

Sebastian, du hast uns zumindest eine klasse kleine Testreihe hier abgeliefert, das ist nicht zu bestreiten und warum sollte man nicht statt IDP, bspw. TF, Mamutu, Defense+ oder OA nehmen? wenn einem User ein HIPS mehr zusagt, ist das doch okay.

Geschrieben von: uweli1967 23.09.2011, 15:52

Paul12, das hat doch auch niemand behauptet, du kannst aber bei der Installation von AVG Free 2012 IDP abwählen und zu einem anderen Behavior Guard oder HIPS greifen und dieses stattdessen installieren.

Geschrieben von: SLE 23.09.2011, 15:57

@Paul: keinerlei Einspruch, außer das man mit 4 Samples erst recht nichts über Signaturengüte zeigen kann .

Weil es etwas anderes ist - ganz grob: Verhaltensblocker entscheiden entweder vollautomatisch, oder liefern nur ausgewählte Meldungen mit entsprechenden Verhaltensempfehlungen. HIPSe ballern gemäß überwachten Aktionen und der jew. Einstellungen alles an Meldungen raus. Da stecken (sollten) ganz andere Strategien dahinter - fernab von einem Ergänzungswahn.

Wem ein vollwertiges HIPS zusagt und wer es bedienen kann & will, der braucht a.) kein AV und b.) eigentlich auch das HIPS nicht (immer)

Geschrieben von: SLE 23.09.2011, 17:06

Und noch ein BB der sich standalaone testen und installieren lässt:
Avast Free 6-0-1289 (XP-VM; benutzerdefiniert installiert: nur Verhaltensschutz; Verhaltensschutz auf nachfragen, Autosandbox auf nachfragen)
Samples und Vorgehen, s.o.

Ergebnisse:
(1) Rootkit-TDL4. http://www.virustotal.com/file-scan/report.html?id=9fb7376967dcf30a8ead9911776acf26804f2d520eb1832f62e1892218c1baaa-1316611793 | http://www.threatexpert.com/report.aspx?md5=ce08a9239d88d7165ac55039b5b9083e
Meldung bzgl. des Autostarts.
http://www.abload.de/image.php?img=avasttdl1iuve.jpg
Leider sind da die wesentlichen Aktionen die das Rootkit benötigt schon durch und das System ist infiziert... Sandbox trat nie in Erscheinung/wurde nie vorgeschlagen.
http://www.abload.de/image.php?img=avasttdl2bujr.jpg
Fail

(2) Rootkit-ZeroAccess. http://www.virustotal.com/file-scan/report.html?id=0a26afbcfb8fafa3468bb7bf89a35b1d6527e123fb002e1d10f89ecd9af137b7-1316613234 | http://www.threatexpert.com/report.aspx?md5=207da9df62e772e5c5c9b99ab68448ba
Der BB merkt und meldet eine Manipulation von Treibern.
http://www.abload.de/image.php?img=avastzeroaccess1kuyw.jpg
Leider ist zu diesem Zeitpunkt auch schon einiges gelaufen und das System nicht mehr wirklich clean. Sandbox trat nie in Erscheinung/wurde nie vorgeschlagen.
http://www.abload.de/image.php?img=avastzeroaccess28u3i.jpg
Fail

(3) Trojaner-SpyEye. http://www.virustotal.com/file-scan/report.html?id=7e055d2bf9fd49d0c5f9a53a980f030e5d443fee97e1b9ef928369dd89e6b0f0-1316613709 | http://www.threatexpert.com/report.aspx?md5=5e2d886f925a3648157dbd09992b9a9e
Autostarteintrag wird gemerkt, leider ist auch hier das wesentliche schon gelaufen. Sandbox trat nie in Erscheinung/wurde nie vorgeschlagen. Fail
http://www.abload.de/image.php?img=avastspyeyebu9a.jpg

(4) Ransom-WinLock http://www.virustotal.com/file-scan/report.html?id=c29c00797aa5295951212dfc522d5f2a59b4ff3992a8d8c6e9d7a20fcace506c-1316611869 | http://www.threatexpert.com/report.aspx?md5=1c6fe4f24e3bf810a16c154b6b5d698f
Ransom ist schon aktiv, da flackert kurz eine Meldung auf die sich nicht mehr hervorholen lässt. Sandbox trat nie in Erscheinung/wurde nie vorgeschlagen. Fail

Geschrieben von: uweli1967 23.09.2011, 17:47

Sebastian, du kannst es wohl nicht lassen ich hätte nicht gedacht dass du auch noch den BB von Avast Free "ins Rennen schickst", finde es aber klasse was du machst mit der der kleinen Testreihe

Geschrieben von: Schattenfang 23.09.2011, 19:17

truprevent lässt sich auch einzeln testen
auch wenn es natürlich wie sonar oder deepguard nur ein teil von vielen technologien ist.

http://www.abload.de/image.php?img=panda12truprevxc67.png
einfach nur die häkchen unter dem reiter "unbekannte bedrohungen" so setzen wie im bild und alles bei "bekannte bedrohungen" rausnehmen. dann läuft nur noch truprevent.

Geschrieben von: SLE 23.09.2011, 22:41

@Schattenfang: Ich habe Panda mal in die Win7 VM gepackt und kurz angesehen.
Jetzt weiß ich auch wieder warum ich das Programm damals nach 10 Minuten wieder entfernt hatte. Aber bei Zeit schaue ich es mal genauer und möglichst fair an und teste ein paar mehr Sachen...

Hatte sogar die Heuristik angelassen und eine Netzwerkverbindung gab es auch. 0 von 4, keinerlei Warnmeldung, System 4mal im Ar...

Geschrieben von: chris30duew 23.09.2011, 22:51

Super Testreihe muss ich auch sagen.
Ich finde jetzt fehlt noch AVG free mit der IDP, da diese Identity Protection ja auch recht gut sein soll als BB würde mcih auch da mal ein Test interessieren.

Gruss Chris

Geschrieben von: Anders L. 23.09.2011, 23:31

@Chris: sieh' doch mal http://www.rokop-security.de/index.php?showtopic=21530&view=findpost&p=342490

@SLE: Der BB von GData würde mich mal interessieren (funktioniert allein), da der hier ja immer als "schwach" eingestuft wird.
Ansonsten: Volles Lob - klasse Test

Gruß Anders

Geschrieben von: SLE 24.09.2011, 05:51

Soweit ich ihn in Erinnerung habe (Mai/Juni) fragt der vollautomatisch zuerst Signaturen ab - egal was man einstellt. Folglich kann man ihn immer nur gegen per Signatur unerkannte Sachen wirklich testen bzw. man versucht diese zu löschen.

Im Test vom Mai (siehe GData Betathread) hat der BB bei TDL versagt, ob da mittlerweile nachgebessert wurde...wäre interessant.

Geschrieben von: Steinlaus 24.09.2011, 07:25

Kann einfach nicht die Finger davon lassen und habe mir nochmals Bitdefender IS 2012 installiert.
Hier von würde mich der BB-Test auch mal interessieren.

Hat zwar nicht direkt mehr was mit TF zu tun, aber tolle Test´s.
Danke @SLE

Geschrieben von: Gregor 24.09.2011, 07:54

Wurde nachgebessert, habs selbst aber noch nicht getestet, so jedenfals die Aussagen der GD_Supporter im G Data Forum.

Geschrieben von: Schattenfang 24.09.2011, 11:50

danke für den kurztest! ich hoffe dass meine logik gestimmt hat und panda truprevent nicht doch mit abschaltet, wenn der realtime-schutz deaktiviert wird. aber das kann ich nicht 100%ig sagen.

Geschrieben von: SLE 24.09.2011, 13:59

Sollte, andernfalls wäre die GUI Anzeige arg irreführend. Ich kann und werde es aber irgendwann später nochmal genau testen, wenn ich Panda ansehe.


GData BB geht jetzt "einzeln" zu testen, manchmal kommen zwar merkwürdigerweise Erkennungen die auf Signaturen beruhen - aber oft auch nicht.


Fail. Test ist durch. Ergebnisse kommen die nächsten Tage gepaart mit Bitdefender (wo ich mehrere Stufen anschaue).


Indirekt sieht man ja, inwieweit die integrierten BBs bei den getesteten Samples mithalten, wobei ich strenggenommen Threatfire auch nur 2/4 als bestanden anrechne.

Geschrieben von: uweli1967 24.09.2011, 14:06

du bist ja "gnadenlos" Sebastian

Geschrieben von: SLE 26.09.2011, 17:51

So wie versprochen 2 Wunschkandidaten, wo ein separater Test des BB möglich ist: GData IS 2012 und Bitdefender IS 2012

Testumgebung:
- VM (Vbox) WinXPx86-SP3 aktuell.
- Getestete Software die einzige installierte Securitysoftware. Zurücksetzen der VM nach jedem Einzeltest.

Produkte und Einstellungen:
- GData: AntiVirus Wächter deaktiviert, nur Verhaltensblocker aktiviert (Detaileinstellungen für diesen nicht möglich)
- BitDefender: OnAccess Scan deaktiviert, ActiveVirus Control und IDS auf Medium (Standardeinstellung)

Ergebnisse:

(1) Rootkit-TDL4. http://www.virustotal.com/file-scan/report.html?id=9fb7376967dcf30a8ead9911776acf26804f2d520eb1832f62e1892218c1baaa-1316611793 | http://www.threatexpert.com/report.aspx?md5=ce08a9239d88d7165ac55039b5b9083e
- GData: Keine Meldung des Verhaltensblockers, dieser ist somit noch immer nicht in der Lage TDL irgendwie zu erkennen. Fail
- Bitdefender: größtenteils unspezifische Meldungen, wo nicht wirklich klar wird ob sie auf Verhaltensanalyse oder ggf. Heuristik beruhen. Aber der Zugriff auf den SessionManager wird gemeldet. bestanden
http://www.abload.de/image.php?img=bdtdl1pyg7.jpg http://www.abload.de/image.php?img=bdtdl2kbac.jpg http://www.abload.de/image.php?img=bdtdl3hlji.jpg

(2) Rootkit-ZeroAccess. http://www.virustotal.com/file-scan/report.html?id=0a26afbcfb8fafa3468bb7bf89a35b1d6527e123fb002e1d10f89ecd9af137b7-1316613234 | http://www.threatexpert.com/report.aspx?md5=207da9df62e772e5c5c9b99ab68448ba
- GData: Keine Meldung des Verhaltensblockers Fail
- Bitdefender: größtenteils unspezifische Meldungen, wo nicht wirklich klar wird ob sie auf Verhaltensanalyse oder ggf. Heuristik beruhen. Aber der Zugriff auf den Explorer (wenn auch nur die PID) wird erkannt und gemeldet. bestanden
http://www.abload.de/image.php?img=bdza1kx6q.jpg http://www.abload.de/image.php?img=bdza2qyyc.jpg http://www.abload.de/image.php?img=bdza3iysg.jpg

(3) Trojaner-SpyEye. http://www.virustotal.com/file-scan/report.html?id=7e055d2bf9fd49d0c5f9a53a980f030e5d443fee97e1b9ef928369dd89e6b0f0-1316613709 | http://www.threatexpert.com/report.aspx?md5=5e2d886f925a3648157dbd09992b9a9e
- GData: Meldungen das die Datei laut Virenscanner infiziert ist. Merkwürdig warum hier mittels Signaturen geprüft und diesbezüglich gemeldet wird,
denn a.) ist die AV-Komponente deaktiviert und b.) kommen bei den Rootkits (die auch vom AV erkannt werden) diese Meldungen nicht. Keine eindeutige Wertung für den BB
http://www.abload.de/image.php?img=gdse18lio.jpg http://www.abload.de/image.php?img=gdse21a4z.jpg

- Bitdefender: größtenteils unspezifische Meldungen für beide Prozesse, wo nicht wirklich klar wird ob sie auf Verhaltensanalyse oder ggf. Heuristik beruhen. Aber der Zugriff auf den Explorer wird erkannt und gemeldet. bestanden
http://www.abload.de/image.php?img=bdse1gaox.jpg http://www.abload.de/image.php?img=bdse2nzka.jpg http://www.abload.de/image.php?img=bdse31luu.jpg http://www.abload.de/image.php?img=bdse4iywc.jpg

(4) Ransom-WinLock http://www.virustotal.com/file-scan/report.html?id=c29c00797aa5295951212dfc522d5f2a59b4ff3992a8d8c6e9d7a20fcace506c-1316611869 | http://www.threatexpert.com/report.aspx?md5=1c6fe4f24e3bf810a16c154b6b5d698f
- GData: Verhaltensblocker meldet Signaturfund, verdächtigen Packer und Prozessmodifikation. Spärlich, aber immerhin. bestanden
http://www.abload.de/image.php?img=gdwl2yvv.jpg

- Bitdefender: recht unspezifische Meldungen über den Zugriff auf den eigenen Prozess, wo nicht wirklich klar wird ob sie auf Verhaltensanalyse oder ggf. Heuristik beruhen. Zugriff auf die Autostarteinstellungen wird erkannt - hier wäre es allerdings schon zu spät. Dennoch: bestanden
http://www.abload.de/image.php?img=bdwl1wlrz.jpg http://www.abload.de/image.php?img=bdwl2bxe5.jpg

Fazit:
GData: Hier scheint nach wie vor viel Arbeit notwendig um proaktiv abseits der Signaturen mithalten zu können.

Bitdefender: Auch wenn 4mal bestanden (v.a. durch die eindeutigeren IDS Meldungen) auf den ersten Blick recht gut aussieht - das Programm zeigte selbst in diesem Schnelltest erstaunlich viele Bugs und größere und kleinere Probleme:
- z.T. abgeschnittene Lokalisierungen in der GUI
- Einstellungen werden z.T. nicht beachtet. (Z.b. waren Autopilot, on-access Scanner sowie alle Autoscans deaktiviert - trotzdem putzte BD manchmal vollautomatisch den Ordner mit den Testsamples weg). Ein Neustart nach dem Setzen von Einstellungen bewirkte oft Wunder.
- Popups erscheinen mal deutsch, mal englisch, mal identisch in deutsch und dann in englisch
- Stellenweise wird in den Popups der Prozess nicht ausgegeben, sondern nur die PID
- Popups die eine Entscheidung fordern verschwinden nach einiger Zeit (ohne das der Prozess angehalten bzw. beendet wird)

Geschrieben von: Habakuck 26.09.2011, 18:23

Cool, danke, dass du dir die Arbeit gemacht hast!

Bitis Qualitätssicherung ist echt nur noch ein Kopfschütteln wert... Habe mich schon gewundert ob die die Meldungen nun immer einmal in deutsch und zur Sicherheit nochmal in Englisch ausspucken.. ^^

Geschrieben von: uweli1967 26.09.2011, 18:31

Sebastian, würdest du nun ein Ranking der getesteten BB's machen, wie würde das ausschauen? ausser Platz 1 der wohl an Mamutu geht.

Geschrieben von: Habakuck 26.09.2011, 18:36

^^ kannst du das nicht grade noch alleine machen?

Geschrieben von: uweli1967 26.09.2011, 18:40

.........nein Habakuck ich finde wenn Sebastian schon die Test's gemacht hat, dann steht ihm auch zu zu beurteilen(wenn er das überhaupt machen will)welcher BB auf welchen Platz seiner Meinung nach gehört.

Geschrieben von: SLE 26.09.2011, 18:54

An solche FeaturesScherze dachte ich auch erst, aber bei genauem Hinsehen sind es eben manchmal auch andere Meldungen (sieht man an den Schaltflächen).


Ich bin ganz ehrlich - ich tue mich hier schwer. Es geht hier nur um 4 Malwarefamilien - eine gewisse Relevanz kommt sicher durch deren Verbreitung und Variantenreichtum. Aber man muss nicht aus allem Rankings erstellen. Daneben sind nicht alle Produkte 100% vergleichbar. Und ob bei den teilweise spärlichen Meldungen die Nutzer richtig entschieden hätten ??

Geschrieben von: uweli1967 26.09.2011, 18:57

Wenn überhaupt Sebastian, hättest du sagen können(deiner Meinung nach)zum Beispiel Platz 1 Mamutu..........Platz 6 AVG IDP usw.

Geschrieben von: M.Richter 11.10.2011, 17:17

ich hatte jetzt mal mit dem PCTools Support auf deren Homepage via chat gesprochen ... zu erst hatten die mich mehrmals weitergeleitet (da sind mehr Verkäufer als technische Helfer) , aber dann konnte mir doch jemand mehr oder weniger helfen. Er meinte Threatfire wird 100% weiter entwickelt und es ist nicht geplant die Entwicklung zu stoppen auch nicht auf Grund Symantec oder so, PCTools entwickelt eigenständig weiter, aber ... ich habe dann nachgehakt weil sich auf der Homepage usw nichts tut, das Forum auch eher tot scheint ... dann meinte er immer, ja Threatfire in PC Tools Internet Security wird weiter entwickelt ... er hat dann immer im zusammenhang mit der Internetsecurity gesprochen und nicht mehr vom Einzelprodukt. ... hmmm ... nun kann man interpretieren was man möchte oder vllt hat ja jemand nochmal lust nachzuhaken bei denen ...

ich finde das auch echt schade das die Entwicklung von Threatfire so undurchsichtig ist, bzw geworden ist! Wahrscheinlich legen Sie wirklich mehr wert auf ihre kommerzielles Produkt jetzt.

Geschrieben von: BlackDevil 23.11.2011, 23:08

Habe gerade ThreatFire noch mal rausgekramt zum testet, und finde das Programm was den Schutz betrifft immer noch sehr gut, trotz der erwähnten schwächen. Schade finde ich nur, das TF nicht so richtig weiterentwickelt wird. Liegt wie wir wissen aber an den neuen Eigentümern, die kein Interesse haben im eigenem hause noch ein kostenloses gutes(?!) Produkt anzubieten.
Wichtig zu erwähnen ist, das man TF auch noch so konfigurieren kann das es sich von einem BBlocker quasi in ein HIPS verwandelt, durch Erstellung eigener Regeln.

Threarfire Version 4.7.0.53(Stufe 3) benutzerdefiniert.
Testsystem :Win XPx86 SP3, Shadow Defender

Ergebnisse:
1.TDL4 http://www.virustotal.com/file-scan/report.html?id=9fb7376967dcf30a8ead9911776acf26804f2d520eb1832f62e1892218c1baaa-1318978489
ThreatFire - bestanden


2.FakeAV http://www.virustotal.com/file-scan/report.html?id=46c6d88a45847cfe6c228d3f424e5bd9fafcd86cf22bb57026abfbe0c6d607bb-1318740992
ThreatFire - bestanden

3.Ransom/Winlock http://www.virustotal.com/file-scan/report.html?id=e29416252798d6672d1ddbca8fa54170f3b323c2a83991ffce4eee8f3cce96d7-1321044132
ThreatFire - bestanden

4.Ransom/Winlock http://www.virustotal.com/file-scan/report.html?id=2b6896c76ea9baa69be9288dc5993eb403e6ff2db7456fc4a905aa58fb107428-1316677029
ThreatFire-Fail
System blockiert durch Malware und Infiziert

5.ZeroAccess http://www.virustotal.com/file-scan/report.html?id=b06abd7c3253be63150e407c80c9f5b28d8decb52e52ba5b65e253bf69322983-1320711400
Threatfire - bestanden, beim richtigen klicken

6.Trojan Zeus http://www.virustotal.com/file-scan/report.html?id=86f11fbeb5a8a9590edd8afb2f7248c2141d4cc9cce18e94062b63f409a9d790-1319946733
ThreatFire- bestanden

7.SpyEye http://www.virustotal.com/file-scan/report.html?id=06e05b2758c2a184e4b7ec8367e9892f9d8521fa784bffabd79ff0e31c26f245-1319283679
ThreatFire – bestanden

Es ging mir hier nicht um den beweis das TF alles blockt, sondern zu zeigen das man durch eine andere Konfiguration des Programms andere Ergebnisse erzielen kann, sowohl positiv wie auch negativ, darüber hinaus wird es immer wieder Malware geben wo ein Programm scheitert. Die Erkenntnis: TF ist viel stärker mit der Erstellung eigener Regeln als ohne.

Geschrieben von: SLE 23.11.2011, 23:43

Interessant.
- Bei TDL4 erkennt es aber nur das kopieren an mehrere Orte. Erlaubt man das, sieht man das TF bei den eigentlichen Aktivitäten dieses Rootkits stumm bleibt.
- ZeroAccess: Mhm, ist ja auch nicht wirklich die bösartige Verhaltensweise die angemeckert wird. Kommt noch was, wenn du die Netzwerkaktivität erlaubst?

Ergo: akutelle Rootkists - da ist TF nichts.

Geschrieben von: markusg 24.11.2011, 14:53

an sebastian und andere tester, ich kenne wen der bei der thread fire entwicklung arbeitet wenn ihr also samples habt die unerkannt sind bzw bei denen es nur unzureichende erkennungen gibt könnt ihr die mir mit ner kurzen problem beschreibung zukommen lassen und ich gebs dann weiter.
nur ein angebot :-)

Geschrieben von: SLE 24.11.2011, 16:27

Er kann sich alle TDLs ab Version 3 vornehmen: Zugriff auf Druckspooler und MBR wird nicht gemeldet.

Geschrieben von: M.Richter 24.11.2011, 16:42

Frag Ihn doch mal, ob das auch in das Free-Programm eingearbeitet wird und nicht nur in the Internet Security.

Und wie es überhaupt mit dem Free Programm weiter geht... denn ganz ehrlich, so schnell entwickeln die ja nicht mehr, denn das mit den TDLs ab Version 3 und Zugriff auf MBR usw ist doch schon ziemlich lange bekannt!

Geschrieben von: BlackDevil 25.11.2011, 00:01

- Beim TDL4 kommt ja eine eindeutige Warnung, danach Prozess beenden und sperren und das Rootkit ist tot. Deswegen darf man nicht generell sagen das TF versagt, das System wird ja nicht infiziert.
- Beim ZeroAccess wird kein bösartiges verhalten gemeldet – richtig. Erlaubt man den Prozess weiter fortzusetzen - schweigt TF, und das Rootkit treibt ungehindert sein unwesen.
Eine kleine schwäche gegen Rootkits hat das Programm schon.

Geschrieben von: markusg 25.11.2011, 13:02

selbst wenn ich ihn frage glaub ich nicht das ich die infos raus geben kann, glaube firmen machen ihre neuheiten lieber selbst publik :-)

Geschrieben von: M.Richter 25.11.2011, 13:41

Wenn Sie es denn machen würden ... um ehrlich zu sein, finde ich die Art und Weise wie Sie einfach von heut auf morgen aufhören zu supporten eine Frechheit. Und alles ohne irgendeine genaue Info gegenüber den Usern!

Das Threatfire Forum ist so gut wie tot und der threatexpert blog wurde auch einfach stillschweigend beendet!

Weiß nicht was man davon halten soll!

keiner weiß wirklich ob die noch an ThreatFire rum entwickeln oder es komplett neu programmieren oder es tot ist oder was weiß ich. ... Und jetzt kommst du plötzlich und sagst du kennst da wen und er kümmert sich dann drum, dass die neuesten Erkennungsmethoden eingebaut werden ... zzz ... :-) ich weiß echt nicht was man davon noch halten soll.

Verstehe nicht wo das Problem ist, sich einfach mal von Seiten Pc Tools oder Symantecs mal zu der Planung und Entwicklung von Threatfire zu äußern!?

Geschrieben von: markusg 25.11.2011, 18:54

wie gesagt mich persönlich interessiert thread fire nicht.
ich kann nur sagen das noch drann gearbeitet wird und ich evtl. vorhandene bugs gern weiter gebe mich aber auch nicht beschwere wenns da kein interesse drann geben sollte.
also das ich einen entwickler kenne ist eher zufall und liegt nicht an meinem interesse für thread fire :-)

Geschrieben von: M.Richter 26.11.2011, 00:05

Die Internet Security wurde heute geupdated, sowohl auch die ThreatFire engine, bin gespannt ob das update auch in Threatfire stattfindet.

http://www.pctools.com/forum/showthread.php?69407-2012-Release-PC-Tools-Internet-Security-v9

Release of PC Tools Internet Security v9.0.0.898

Hi All,

We have just released PC Tools Internet Security v9.0.0.898.

The Changes in this build include:
- Fixed database update issue.
- Fixed Network layer crashes.
- Fixed Service start up issue.
- Updated: Latest ThreatFire engine for Behavior Guard.
- Updated: Browser Defender supports FireFox v8.
- New: Browser Defender updated to support multilingual Scam Protect Alerts.

Thanks,

Anthony
PC Tools - Essential tools for your PC

Geschrieben von: M.Richter 02.12.2011, 16:23

Ich hab im ThreatFire Forum mal nachgefragt,wann man mit einer neuen Engine für ThreatFire rechnen kann, wie Sie ja auch in der IS eingebaut wurde. Sie haben kurz geantwortet, dass Sie an einer neuen ThreatFire Version arbeiten.

http://www.pctools.com/forum/showthread.php?65874-Is-Threatfire-development-finished.../page11

Geschrieben von: Steinlaus 02.12.2011, 16:27

ThreatFire 4.7.053 Prevention Test

http://www.youtube.com/user/MalwareGuru#p/f/1/HEXpWegY26Q