Hallo,
die Frage in der Themenbeschreibung ist ja nun nicht allzu schwer zu beantworten, habe einige Samples an verschiedene AV-Hersteller geschickt und warte nun auf Antworten / Erkennungen.

Avast:
Trojan-Downloader.Win32.Exchanger.adq* -> abgeschickt 15:25 Uhr 30.09
Rückantwort / Erkennung:
ausstehend


AntiVir:
Trojan-Spy.Win32.KeyLogger.bp* -> abgeschickt 15:49 Uhr 30.09
Rückantwort / Erkennung:
Habe 8 Minuten nach Einsendung eine Antwort bekommen, dass es sich um ein FP handelt, obwohl bisher gar keine Erkennung bei AntiVir Free vorhanden war.
Hier das VT-Ergebnis der Datei:
http://www.virustotal.com/de/analisis/e137...446c706e82991cd
Sieht nach einer komplett blödsinnigen Antwort von AntiVir aus, vielleicht ist da aber nur ein kleiner Fehler unterlaufen und die Erkennung wird trotzdem eingepflegt. Werde es zu einem späteren Zeitpunkt noch einmal überprüfen.


Bitdefender:
Trojan-Downloader.Win32.CodecPack.g* -> abgeschickt 16:24 Uhr 30.09
Rückantwort / Erkennung:
ausstehend


AVG:
Trojan-Dropper.Win32.Agent.wnq* -> abgeschickt 16:55 Uhr 30.09
Rückantwort / Erkennung:
ausstehend


NOD verweigert bei mir in der VM das Update, von daher bis jetzt kein Test möglich.

Kaspersky folgt bald.

* = Kasperskyerkennung

Wäre schön, wenn auch andere Leute hier ihre Erfahrungen posten würden, so kann man sich leicht ein Bild über das Einpflegeverhalten der Hersteller machen.

Für eine wirkliche Vergleichbarkeit hätte man die gleiche Malware zum gleichen Zeitpunkt an die Firmen verschicken müssen.

Außerdem halte ich diesen "Test" nicht für wirklich aussagekräftig. Alleine bei der Anzahl von 4 Samples und Einsendungen läßt sich nicht annähernd ein mathematisches Ergebniss für eine Statistik errechnen. Subjektiv mag sowas nett sein. Objektiv müsste man das mit hunderten oder tausenden Samples über einen längeren Zeitraum machen.

Symantec:
irgendein Fakecodec/Fake-AV
Rückantwort / Erkennung:
Rückantwort im besten Fall am nächsten Werktag , Erkennung eines Sample mit geringer Verbreitung im besten Fall eine Woche später . Bei relativ alten Samples mit null Verbreitung gibt es keine Rückantwort und keine Erkennung.
Nach meiner Beobachtung ist de Wahrscheinlichkeit einer raschen Erkennung eines gefährlichen Malwaresamples wesentlich größer wenn man dies über NAB erkennen und automatisch submitten lässt .

Ob der Symantec Submit Service in der Form etwas bringt möchte ich nicht beantworten , die neuen Viren bekommen die sowieso über ihr eigenes Honeypot.

Prinzipiell könnte man den Threat auch wieder schliessen weil Julian sicher nur genau das wissen wollte

Der Beitrag wurde von bond7 bearbeitet: 30.09.2008, 17:27

Hi

Wird nie mehr sein, als den Stand x zu Zeitpunkt y darzustellen. Zu viele Variable um eine wirkliche Aussage treffen zu können.

Bei Wilders läuft gerade ein ähnlicher Thread und ich zitiere einfach mal einen User, dem ich 100% zustimme:
Zitat von risl


"Nice to have" aber etwas handfestes wird hier nicht rauskommen - dafür bietet dieser Thread guten Stoff für Grabenkämpfe
Ich werde daher meine Erfahrungen hier nicht posten...


Gruß,
Scrapie

Nein, für eine Erfassung ähnlich wie im VT-Thread geht es auch so, da alle die selbe Chance haben.
Und man wird sehr wohl erkennen können, welche Hersteller dazu tendieren, verhältnismäßig schnell eine Erkennung parat zu haben, oder welche eher dazu neigen, sich ordentlich Zeit zu lassen.


Um einen Trend abzeichnen zu können, der vielleicht nicht übermäßig viel Aussagekraft hat, aber immerhin auch nicht zu verachten sein sollte, wird es reichen.
Sonst kann man gleich den VT-Thread dichtmachen, weil die Ergebnisse praktisch null und nichtig sind.

Es geht um die normalen Wege, auf denen Malware eingsendet wird, und das machen die meisten Leute per eMail, und nicht mit irgendwelchen Uploadtools von Schutzprogrammen.

Trotz aller (zum Teil berechtigten) Kritik bin ich mir sicher, dass einige User so einen Thread nicht schlecht finden, sonst hätte der VT-Thread schon längst null Resonanz.

Der Beitrag wurde von Julian bearbeitet: 30.09.2008, 17:37

so einfach ist das aber nicht zu beantworten , wenn ein AV-Vendor sich grundsätzlich Zeit lassen würde beim einpflegen aktueller Malware dann würde er bei offiziellen Tests nicht unter die ersten 3 fallen und unter die ersten 10 erst recht nicht.

vba32 29.09.2008 05:54 gesendet
am abend direkt ne mail bekommen

kaspersky antwortet in den meisten der fälle SOFORT! bei kinkerlitzen (rogue z.B.) dauerds manchmal aber sie melden sich anstandshalber.
mc afee meldet sich auch umgehends!

Als hier im Forum Neuling würde ich mir wünschen, das die Infos hier weiter einfließen.

Danke

F-Secure:

Sample gestern um 20:50 Uhr eingesendet. E-Mail-Antwort in der Nacht um 5:32 Uhr! Signatur: heute 10:20 Uhr!

Der Beitrag wurde von Nightwatch bearbeitet: 30.09.2008, 20:25

Hat schon wer in letzter Zeit etwas an Microsoft gesendet ?

Vor ein paar Monaten bekam ich einen Tag später ausführliche Antwort, mittlerweile dauert's ewig bis überhaupt nicht - ich schätze die sind überlastet

Das finde ich schon mal vorbildlich.

Kann ich so bestätigen, bei F-Secure geht das immer recht Fix...obwohl die Reaktion im Beispiel von Nightwatch eher "langsam" war,ich hatte schon Reaktionszeiten unter einer Stunde.

Von den Herstellern im ersten Posting hab ich noch nichts wieder gehört.

Kaspersky:
Gestern um 20:11 vier Samples abgeschickt, um 03:01 kam eine Antwort, dass eine Erkennung beim nächsten Update dabei ist.

Was mich stutzig macht ist, dass ich zwei Samples geschickt habe, die aber jedes mal meinten, dass kein schädlicher Code dabei sei, obwohl recht viele AVs bei VT meckern.

Interessant dass du es ansprichst, hatte auch zwei Samples verschickt die bei VT ein Ergebnis von 22/32 bzw. 24/32 hatten. Trotzdem bekam ich von Kaspersky nur zwei negative Antworten.
Diese kamen allerdings innerhalb von 2 bzw. 4 Stunden.

gestern nach empfang abgesendet, mc afee SOFORT (ca. halbe stunde?) reaktion mit extra dat...

AVG heute früh um 8.30 Uhr laut email uhrzeit:
Dear Sir/Madam,

thank you for your email.

Please let us inform you that the file attached to your previous
e-mail was really infected by a new Trojan. The detection will be
available with the next AVG virus definitions update.

Thank you for your cooperation.

Please feel free to contact us if we can be of further help.

Answers to the most common questions can be found here as well:
http://www.avg.com/faq/
=================

habs aber an avg.com gesendet nicht an die tschech adress...

Der Beitrag wurde von rock bearbeitet: 01.10.2008, 15:20

hey julian...

ja das kommt "öfters" vor....

hier der von bond reklamierte pc mighty max den symantec erkennt, avira per email malware bestätigt, aber kaspersky sagt - es ist nix drinne!

http://www.rokop-security.de/index.php?s=&...st&p=250297

Julian, manchmal sieht es so aus, als gäbe es für KAS nur gut oder böse. Hat man im Sample nichts gefunden, wird sie als OK eingestuft. Manche AV's gehen hier einen Schritt weiter, und sagen zum Beispiel, das Programm ist in der Lage die Sicherheit ihres Systems zu beeinträchtigen, von ihnen nicht gewünschte Programmaktivitäten auszulösen, oder ihre Privatsphäre zu verletzen.

Ich verwende das Upload-Formular - Antwort kommt noch am selben Tag bzw. am nächsten Tag, wenn es abends hochgeladen wird.


Fortinet meldet sich innerhalb 4 Stunden.

Ja, die Bestätigungsmail kommt am gleichen Tag, so wie bei Symantec, Avira, McAfee - aber das Ergebnis ?