HIPS/Verhaltensblocker vs Killdisk-Viren Einstellungen

[subset]

Hi,

auf Wilders Security hat Maymoons einen Test mit 4 verschiedenen Killdisk Varianten gemacht, das ist die Sorte von Schadprogrammen, nach deren Befall man für gewöhnlich (ob man will oder nicht) die Festplatte formatieren darf.

Getestet hat er mit VMware, weitere Details hier:
http://www.wilderssecurity.com/showthread.php?t=228022

Dies sind nur die Ergebnisse mit den Voreinstellungen der Programme.

Alle vier Angriffe abgewehrt haben:
DefenseWall
Malware Defender
Online Armor
Sandboxie
ThreatFire

Einen von vier Angriffen erkannte:
Primary Response SafeConnect (= Antibot)

Keinen einzigen von vier Angriffen erkannten:
Comodo Internet Security
Mamutu

Es wurde noch mehr getestet, aber bei Prevx z.B. sind die Ergebnisse umstritten.
Mamutu erkannte drei von vier im paranoiden Modus, bloß wer benutzt diesen Modus?
Comodo wurde vorgeblich wieder einmal (CLT...) mit den falschen "höchsten Sicherheitseinstellungen" getestet, erst mit zusätzlichen manuellen Einstellungen des Testers erzeugte das Ding im Paranoiden Modus(!) von Defense+ die gewünschten Meldungsfenster. Naja...

MfG

[Gast_Nightwatch_*]

Es wurde noch mehr getestet, aber bei Prevx z.B. sind die Ergebnisse umstritten.

Zumindest erkannte Prevx Edge alle vier Bedrohungen. Es schien allerdings nicht in der Lage zu sein, sie zu blocken bzw. zu eliminieren.

Ich teste gerade Mamutu, Deepguard und Prevx auf meinen PC´s. Ich habe aber leider zu wenig Zeit und gleichzeitig momentan zu wenig Samples, um da mal etwas Transparentes für´s Board draus zu machen.
Jetziger Stand (nach 3 Backdoors) : Mamutu (2/3 erkannt - 2 geblockt), Deepguard (1/3 erkannt - 0 geblockt**), Prevx (3/3 erkannt - alle geblockt).
Das ist aber alles nicht 100%ig valide, was ich hier mache.

Und zu Mamutu :
Betreibe es auch im Paranoiden Modus.

** Die Trojaner werden allerdings vom Wächter erkannt.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 18.12.2008, 01:07

[subset]

Zumindest erkannte Prevx Edge alle vier Bedrohungen. Es schien allerdings nicht in der Lage zu sein, sie zu blocken bzw. zu eliminieren.

Der Grund, dass ich Prevx weggelassen habe, waren der:
- Test 9: Prevx (without internet connection only herulistic dedection)
- Test 10: Prevx (with internet connection)
Welcher ist der legitime HIPS/Verhaltensblocker Test?
Aber es kann sich ohnehin jeder selbst eine Meinung bilden.

Das PRSC/Antibot Ergebnis ist irgendwie auch seltsam, fehlt da doch die entsprechende Technik zur Erkennung.
So gesehen ist der eine Schädling eher ein "Glückstreffer".

Weniger glücklich muss man mit den Ergebnissen von Comodo und Mamutu sein.
Sie verfügen zwar über die entsprechende Technik, lassen Ihre Benutzer/Kunden in den Standardeinstellungen dennoch (grob fahrlässig) im Stich - weil die Funktion schlicht nicht aktiviert ist.
Diese Maleware ist relativ selten, aber extrem gefährlich/schädlich.
Warum meint man, es hätte nicht höchste Priorität die Leute vor solchen Killdisk-Viren zu schützen?
Das ist doch vollkommen

MfG