Reaktionszeiten-Thread, wie reagieren die Hersteller auf Einsendungen |
Willkommen, Gast ( Anmelden | Registrierung )
Reaktionszeiten-Thread, wie reagieren die Hersteller auf Einsendungen |
30.09.2008, 16:53
Beitrag
#1
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Hallo,
die Frage in der Themenbeschreibung ist ja nun nicht allzu schwer zu beantworten, habe einige Samples an verschiedene AV-Hersteller geschickt und warte nun auf Antworten / Erkennungen. Avast: Trojan-Downloader.Win32.Exchanger.adq* -> abgeschickt 15:25 Uhr 30.09 Rückantwort / Erkennung: ausstehend AntiVir: Trojan-Spy.Win32.KeyLogger.bp* -> abgeschickt 15:49 Uhr 30.09 Rückantwort / Erkennung: Habe 8 Minuten nach Einsendung eine Antwort bekommen, dass es sich um ein FP handelt, obwohl bisher gar keine Erkennung bei AntiVir Free vorhanden war. Hier das VT-Ergebnis der Datei: http://www.virustotal.com/de/analisis/e137...446c706e82991cd Sieht nach einer komplett blödsinnigen Antwort von AntiVir aus, vielleicht ist da aber nur ein kleiner Fehler unterlaufen und die Erkennung wird trotzdem eingepflegt. Werde es zu einem späteren Zeitpunkt noch einmal überprüfen. Bitdefender: Trojan-Downloader.Win32.CodecPack.g* -> abgeschickt 16:24 Uhr 30.09 Rückantwort / Erkennung: ausstehend AVG: Trojan-Dropper.Win32.Agent.wnq* -> abgeschickt 16:55 Uhr 30.09 Rückantwort / Erkennung: ausstehend NOD verweigert bei mir in der VM das Update, von daher bis jetzt kein Test möglich. Kaspersky folgt bald. * = Kasperskyerkennung Wäre schön, wenn auch andere Leute hier ihre Erfahrungen posten würden, so kann man sich leicht ein Bild über das Einpflegeverhalten der Hersteller machen. -------------------- |
|
|
30.09.2008, 17:13
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.239 Mitglied seit: 07.09.2006 Wohnort: blup! Mitglieds-Nr.: 5.308 Betriebssystem: Windows 10 Pro Virenscanner: F-Secure Safe Firewall: Router |
Für eine wirkliche Vergleichbarkeit hätte man die gleiche Malware zum gleichen Zeitpunkt an die Firmen verschicken müssen.
Außerdem halte ich diesen "Test" nicht für wirklich aussagekräftig. Alleine bei der Anzahl von 4 Samples und Einsendungen läßt sich nicht annähernd ein mathematisches Ergebniss für eine Statistik errechnen. Subjektiv mag sowas nett sein. Objektiv müsste man das mit hunderten oder tausenden Samples über einen längeren Zeitraum machen. -------------------- Grüße
Caimbeul Xeon E3-1230 V2 + Macho HR-02 | 16GB DDR3 | ASUS GTX660 TI DirectCU II OC 2GB | ASRock H77 Pro4/MVP Samsung SSD 840 Pro 256GB | Dell UltraSharp U2311H - IPS | Lancool K58 + Dämmung | Steelseries Sensei Raw |
|
|
30.09.2008, 17:13
Beitrag
#3
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Symantec:
irgendein Fakecodec/Fake-AV Rückantwort / Erkennung: Rückantwort im besten Fall am nächsten Werktag , Erkennung eines Sample mit geringer Verbreitung im besten Fall eine Woche später . Bei relativ alten Samples mit null Verbreitung gibt es keine Rückantwort und keine Erkennung. Nach meiner Beobachtung ist de Wahrscheinlichkeit einer raschen Erkennung eines gefährlichen Malwaresamples wesentlich größer wenn man dies über NAB erkennen und automatisch submitten lässt . Ob der Symantec Submit Service in der Form etwas bringt möchte ich nicht beantworten , die neuen Viren bekommen die sowieso über ihr eigenes Honeypot. Prinzipiell könnte man den Threat auch wieder schliessen weil Julian sicher nur genau das wissen wollte Der Beitrag wurde von bond7 bearbeitet: 30.09.2008, 17:27 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Scrapie_* |
30.09.2008, 17:14
Beitrag
#4
|
Gäste |
Hi
Wird nie mehr sein, als den Stand x zu Zeitpunkt y darzustellen. Zu viele Variable um eine wirkliche Aussage treffen zu können. Bei Wilders läuft gerade ein ähnlicher Thread und ich zitiere einfach mal einen User, dem ich 100% zustimme: ZITAT It's all random, some company might have success some day and some vendor the next day. Then again, some vendors might be excellent with some particular type of malware or variant/family. There might also be problems with mail servers, spam filters, etc. that prevent uploading/sendin the sample .. and the user will end up thinking that it was ignored. Zitat von rislI think it's impossible to say which company is the fastest for adding detections. "Nice to have" aber etwas handfestes wird hier nicht rauskommen - dafür bietet dieser Thread guten Stoff für Grabenkämpfe Ich werde daher meine Erfahrungen hier nicht posten... Gruß, Scrapie |
|
|
30.09.2008, 17:36
Beitrag
#5
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Für eine wirkliche Vergleichbarkeit hätte man die gleiche Malware zum gleichen Zeitpunkt an die Firmen verschicken müssen. Nein, für eine Erfassung ähnlich wie im VT-Thread geht es auch so, da alle die selbe Chance haben. Und man wird sehr wohl erkennen können, welche Hersteller dazu tendieren, verhältnismäßig schnell eine Erkennung parat zu haben, oder welche eher dazu neigen, sich ordentlich Zeit zu lassen. Wird nie mehr sein, als den Stand x zu Zeitpunkt y darzustellen. Zu viele Variable um eine wirkliche Aussage treffen zu können. Um einen Trend abzeichnen zu können, der vielleicht nicht übermäßig viel Aussagekraft hat, aber immerhin auch nicht zu verachten sein sollte, wird es reichen. Sonst kann man gleich den VT-Thread dichtmachen, weil die Ergebnisse praktisch null und nichtig sind. Es geht um die normalen Wege, auf denen Malware eingsendet wird, und das machen die meisten Leute per eMail, und nicht mit irgendwelchen Uploadtools von Schutzprogrammen. Trotz aller (zum Teil berechtigten) Kritik bin ich mir sicher, dass einige User so einen Thread nicht schlecht finden, sonst hätte der VT-Thread schon längst null Resonanz. Der Beitrag wurde von Julian bearbeitet: 30.09.2008, 17:37 -------------------- |
|
|
30.09.2008, 17:40
Beitrag
#6
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ZITAT Und man wird sehr wohl erkennen können, welche Hersteller dazu tendieren, verhältnismäßig schnell eine Erkennung parat zu haben, oder welche eher dazu neigen, sich ordentlich Zeit zu lassen. so einfach ist das aber nicht zu beantworten , wenn ein AV-Vendor sich grundsätzlich Zeit lassen würde beim einpflegen aktueller Malware dann würde er bei offiziellen Tests nicht unter die ersten 3 fallen und unter die ersten 10 erst recht nicht. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
30.09.2008, 19:44
Beitrag
#7
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 405 Mitglied seit: 30.09.2006 Wohnort: neuss Mitglieds-Nr.: 5.391 Betriebssystem: Win 7 Pro Virenscanner: Kaspersky Free Firewall: keine |
vba32 29.09.2008 05:54 gesendet
am abend direkt ne mail bekommen |
|
|
Gast_rock_* |
30.09.2008, 19:46
Beitrag
#8
|
Gäste |
kaspersky antwortet in den meisten der fälle SOFORT! bei kinkerlitzen (rogue z.B.) dauerds manchmal aber sie melden sich anstandshalber.
mc afee meldet sich auch umgehends! |
|
|
Gast_Sicherheit_* |
30.09.2008, 20:20
Beitrag
#9
|
Gäste |
Als hier im Forum Neuling würde ich mir wünschen, das die Infos hier weiter einfließen.
Danke |
|
|
Gast_Nightwatch_* |
30.09.2008, 20:25
Beitrag
#10
|
Gäste |
F-Secure:
Sample gestern um 20:50 Uhr eingesendet. E-Mail-Antwort in der Nacht um 5:32 Uhr! Signatur: heute 10:20 Uhr! Der Beitrag wurde von Nightwatch bearbeitet: 30.09.2008, 20:25 |
|
|
30.09.2008, 20:26
Beitrag
#11
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
Hat schon wer in letzter Zeit etwas an Microsoft gesendet ?
Vor ein paar Monaten bekam ich einen Tag später ausführliche Antwort, mittlerweile dauert's ewig bis überhaupt nicht - ich schätze die sind überlastet |
|
|
Gast_Sicherheit_* |
30.09.2008, 20:33
Beitrag
#12
|
Gäste |
|
|
|
Gast_Xeon_* |
30.09.2008, 21:50
Beitrag
#13
|
Gäste |
F-Secure: Sample gestern um 20:50 Uhr eingesendet. E-Mail-Antwort in der Nacht um 5:32 Uhr! Signatur: heute 10:20 Uhr! Kann ich so bestätigen, bei F-Secure geht das immer recht Fix...obwohl die Reaktion im Beispiel von Nightwatch eher "langsam" war,ich hatte schon Reaktionszeiten unter einer Stunde. |
|
|
01.10.2008, 10:24
Beitrag
#14
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Von den Herstellern im ersten Posting hab ich noch nichts wieder gehört.
Kaspersky: Gestern um 20:11 vier Samples abgeschickt, um 03:01 kam eine Antwort, dass eine Erkennung beim nächsten Update dabei ist. Was mich stutzig macht ist, dass ich zwei Samples geschickt habe, die aber jedes mal meinten, dass kein schädlicher Code dabei sei, obwohl recht viele AVs bei VT meckern. -------------------- |
|
|
01.10.2008, 11:56
Beitrag
#15
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 10 Mitglied seit: 16.09.2008 Mitglieds-Nr.: 7.102 Betriebssystem: Windows XP Virenscanner: KIS 2010 Firewall: Router | KIS 2010 |
Was mich stutzig macht ist, dass ich zwei Samples geschickt habe, die aber jedes mal meinten, dass kein schädlicher Code dabei sei, obwohl recht viele AVs bei VT meckern. Interessant dass du es ansprichst, hatte auch zwei Samples verschickt die bei VT ein Ergebnis von 22/32 bzw. 24/32 hatten. Trotzdem bekam ich von Kaspersky nur zwei negative Antworten. Diese kamen allerdings innerhalb von 2 bzw. 4 Stunden. |
|
|
Gast_rock_* |
01.10.2008, 15:18
Beitrag
#16
|
Gäste |
diesmal kommt UPS zum Zug (gleichmehrfach im postkasten)! Datei UPS_letter.zip empfangen 2008.09.29 18:42:38 (CET) http://www.rokop-security.de/index.php?s=&...st&p=250487 Mc Afee Extra Dat/Erkennung: ups_letter.doc.exe |new detection |w32/auraax.worm |Virus |yes gestern nach empfang abgesendet, mc afee SOFORT (ca. halbe stunde?) reaktion mit extra dat... AVG heute früh um 8.30 Uhr laut email uhrzeit: Dear Sir/Madam, thank you for your email. Please let us inform you that the file attached to your previous e-mail was really infected by a new Trojan. The detection will be available with the next AVG virus definitions update. Thank you for your cooperation. Please feel free to contact us if we can be of further help. Answers to the most common questions can be found here as well: http://www.avg.com/faq/ ================= habs aber an avg.com gesendet nicht an die tschech adress... Der Beitrag wurde von rock bearbeitet: 01.10.2008, 15:20 |
|
|
Gast_rock_* |
01.10.2008, 15:24
Beitrag
#17
|
Gäste |
Was mich stutzig macht ist, dass ich zwei Samples geschickt habe, die aber jedes mal meinten, dass kein schädlicher Code dabei sei, obwohl recht viele AVs bei VT meckern. hey julian... ja das kommt "öfters" vor.... hier der von bond reklamierte pc mighty max den symantec erkennt, avira per email malware bestätigt, aber kaspersky sagt - es ist nix drinne! http://www.rokop-security.de/index.php?s=&...st&p=250297 |
|
|
01.10.2008, 16:26
Beitrag
#18
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
ZITAT Was mich stutzig macht ist, dass ich zwei Samples geschickt habe, die aber jedes mal meinten, dass kein schädlicher Code dabei sei, obwohl recht viele AVs bei VT meckern. Julian, manchmal sieht es so aus, als gäbe es für KAS nur gut oder böse. Hat man im Sample nichts gefunden, wird sie als OK eingestuft. Manche AV's gehen hier einen Schritt weiter, und sagen zum Beispiel, das Programm ist in der Lage die Sicherheit ihres Systems zu beeinträchtigen, von ihnen nicht gewünschte Programmaktivitäten auszulösen, oder ihre Privatsphäre zu verletzen. |
|
|
Gast_blueX_* |
01.10.2008, 17:26
Beitrag
#19
|
Gäste |
Hat schon wer in letzter Zeit etwas an Microsoft gesendet ? Vor ein paar Monaten bekam ich einen Tag später ausführliche Antwort, mittlerweile dauert's ewig bis überhaupt nicht - ich schätze die sind überlastet Ich verwende das Upload-Formular - Antwort kommt noch am selben Tag bzw. am nächsten Tag, wenn es abends hochgeladen wird. Fortinet meldet sich innerhalb 4 Stunden. |
|
|
01.10.2008, 20:47
Beitrag
#20
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 21:17 |