Raymond, AV Test Einstellungen

[Habakuck]

Ich bin grade über das hier gestolpert und staune nicht schlecht:
http://www.raymond.cc/blog/archives/2010/0...urity-for-2010/

Die Performance Sachen habe ich so überflogen aber bei dem Detection Test bin ich stutzig geworden!
Guckt euch das mal an...

Warum blockt Norton 360° den gestealthten Bifrost nicht? War da Sonar noch nicht mit bei? Denn ich denke mal das wird für die Erkennung in NIS 2010 sorgen.
Warum erkennt KIS den Trojaner kann ihn aber nicht blocken?
Warum erkennt ein sonst eher unbeachtetes AntiVirus (K7) den Trojaner Scantime! und Runtime! und viele andere großen Vendor nicht?

Finde ich durchaus mal sehr interessant.

Der Beitrag wurde von Habakuck bearbeitet: 27.02.2010, 17:57

[Habakuck]

Vielen Dank für die umfangreiche Antwort Anar!

Was bedeutet "Melt" in dem Zusammenhang? Mir ist das nur als "schmelzen" von z.B. Eis bekannt. (Checkbox im dritten Screenshot)


PS: Könntest du mal in deine Glaskugel schauen und mir verraten warum K7 den mit incognito gestealthten server heuristisch erkennt? =)
Habe in Raymond's Blog nachgelesen: "Yes" bedeutet Signaturen Fund. "Blocked" bedeutet Behavior oder HIPS Fund.
K7 erkennt das ganze scheinbar als Trojan Backdoor, was ich ziemlich beachtlich finde für ein AV was sonst nirgens groß erwähnt wird.


Vielen Dank nochmal für die Ausführungen!

[Anar]

Was bedeutet "Melt" in dem Zusammenhang? Mir ist das nur als "schmelzen" von z.B. Eis bekannt. (Checkbox im dritten Screenshot)

Das die Datei sich nach der Installation selbst löschen soll. Ist die Frage ob es hier ein Bug beim Desktop Refresh ist (weil wie man sieht wird der Server im Temp Verzeichnis des Users ausgeführt aber die Datei ist noch auf dem Desktop zu sehen) oder ob Melt nur aktiv ist, wenn wirklich eine der Installationsoptionen aktiviert ist.

PS: Könntest du mal in deine Glaskugel schauen und mir verraten warum K7 den mit incognito gestealthten server heuristisch erkennt? =)

Wahrscheinlich eine generische Packer/Crypter Erkennung. Aber ohne Sample kann man da nichts zu sagen. Erst recht nicht wenn man die Software nicht kennt.

In Bezug auf die Application Control (ich nehme an das ist das HIPS?). Ich bin kein Kaspersky User. Daher keine Ahnung ob Kaspersky im Startbildschirm irgendwas anzeigt wenn die Application Control deaktiviert ist. Aber im Video selbst wird nur gezeigt, daß die PDM aktiv ist. Die Application Control Optionen werden nicht gezeigt.

Der Beitrag wurde von Anar bearbeitet: 28.02.2010, 17:33