Juni-Ergebnisse von AV-Comparatives Einstellungen

[SLE]

Der Halbjahresreport des dynamischen Tests wurde veröffentlicht.

Symantec for F-Secure und Bitdefender bei der Erkennung, wobei Symantec für die vielen fälschlicherweise geblockten Seiten und Dateien im Endergebnis abgewertet wurde.

Habe den Report nur überflogen, bin aber etwas enttäuscht: Zumindest eine Aufschlüsselung per Signatur erkannt - andere Erkennung würde ich mir bei einem dynamischen Test schon wünschen. Oder hab ichs übersehen?

Webroot besticht ja durch massenweise Fehlerkennungen - macht sich hier der Kauf von Prevx schon bemerkbar?

[IBK]

so eine Aufschlüsselung ist leider nicht möglich, da es z.b. Produkte gibt die eine Meldung bringen als ob die Datei per Signatur erkannt wurde, aber in Wirklichkeit alle Dateien (auch saubere) von der Website so blockiert werden weil sie die Domain als unbekannt/verdächtig blockieren und nicht die Datei. Zum Teil können selbst die AV Hersteller nicht unterscheiden welches ihrer Module für ein Block verantworktlich war (wollte es für die FPs machen, aber aus genannten Gründen dann doch nicht gemacht).
Bei Webroot waren es fast nur URL-FPs, nicht Dateien.

[Voyager]

Welcher Test ist denn das, ich sehe auf dem Link von SLE nur den März Test...

[devaletin]

Hier ist doch das komplette PDF Dokument in Englisch und Chinesisch...was Du besser lesen kannst

Der Beitrag wurde von devaletin bearbeitet: 22.08.2011, 17:40

[Voyager]

Also DOCH der März Test ? Ich hab nach etwas aktuellem gesucht weil SLE schrieb der Report wurde jetzt veröffentlicht, was für nee Grütze...

http://www.youtube.com/watch?v=haJiKTPlaUA (ab der Hälfte des Video beginnt der Virentest)
Aber mal zum Thema , ich hab das Bitdefender Review auf Youtube gesehen, Bitdefender blockt da auch recht heftig übern URL Filter sogut wie Alles... was ist denn bei Bitdefender dann bitte schön besser als bei Symantec und ich glaube jetzt auf Anhieb mal nicht das die von Norton geblockten Webseiten False Positives seien.
Das ist dann doch schon noch erklärungswürdig der AV Comparatives Test .

[SLE]

Also DOCH der März Test ? Ich hab nach etwas aktuellem gesucht weil SLE schrieb der Report wurde jetzt veröffentlicht, was für nee Grütze...

Mensch, was ist heute los mit dir? Overall results March - June.

Das was monatlich als Grafik präsentiert wurde ist im pdf zusammengefasst in etwas Text gepackt & Fehlalarmtests. Veröffentlicht am 19-08-2011.

[markusg]

der test hier ists. das ist ne zusammenfassung der monatlichen tests
http://www.av-comparatives.org/images/stor...dt2011_1_en.pdf
du kannst doch sehen, das av-comparatives die hersteller kontaktiert hatt, in dem abschnitt false positive steht doch auch, wie viele behoben wurden, wenn ich das richtig sehe.
scheint bei symantec einiges an fps zu liegen, ich möchte mal wetten das das größten teils auch am reputations system liegt nicht weit verbreitete software wird da warscheinlich häufig als gefährlich eingestuft.
ist ja häufig bei cloud systemen, das unerkannte files als verdächtig eingestuft werden.

Der Beitrag wurde von markusg bearbeitet: 22.08.2011, 18:07

[Voyager]

Markus

Bitdefender blockte in dem anderen Test auf Youtube Alle URLs (Webseiten) , das zeigt für mich zumindestens das Bitdefender diesselbe Tendenz verfolgt infizierte Seiten komplett zu sperren... Bitdefender ist aber in dem AV Comparatives Test auf der anderen Seite mit den am wenigsten blockierten Domains. Das bleibt für mich immernoch schwer nachvollziehbar warum da Symantec in der Abwertung schlechter sein soll.

ist ja häufig bei cloud systemen, das unerkannte files als verdächtig eingestuft werden.

Bist du dir da sicher ?


Der Beitrag wurde von Voyager bearbeitet: 22.08.2011, 18:14

[markusg]

naja, du weist doch wo diese leute von youtube ihre urls her bekommen, mdl und andere.
wenn jetzt ein hersteller diese listen verfolgt, ist das einfach nen verfälschtes ergebniss.
av-comparatives hatt ja urls aus mehreren quellen genutzt, wie sich das gehört.
verstehe auch nicht so richtig, was dich zu der meinung bringt, es gäbe keine fps bei symantec, vllt kannst ja direkt im forum fragen und die geben weitere infos raus
das in der cloud neue dateien häufig mal als suspicious erkannt werden ist ein erfahrungswert von mir, hab da keinerlei beweise oder ähnliches.

[Voyager]

Bei geblockten Webseiten , im AV Test heisst das "fälschlich geblockte Domains" wird es wohl kaum False Positives geben, Bitdefender müsste da diesselbe FP Rate aufweisen...

Der Beitrag wurde von Voyager bearbeitet: 22.08.2011, 18:36

[SLE]

av-comparatives hatt ja urls aus mehreren quellen genutzt, wie sich das gehört.

Wobei mich folgendes wundert (auch wenn man angibt sich nicht auf 0day zu konzentrieren): Man gibt an eigene Quellen zu suchen und keine zu nutzen die von AV-Herstellern und anderen Organisationen geteilt werden. Gleichzeitig wieder die merkwürdigen 90/95+% Ergebnisse der Erkennung: Ich glaub da nicht dran.

Wenn ich selber etwas mit ausgewählten Quellen spiele (die den AV-Herstellern im Allgemeinen bekannt sein sollten) komme ich NIE auf solch enorme Erkennungen. V.a. nicht mit den üblichen Signaturmonstern die hier wieder weit oben stehen und auch nicht mit anderen Produkten in Standardeinstellungen.

Irgendwie komisch - und ob sich das nur aus dem Unterschied der Zahl der getesteten Samples erklären lässt? Dann hätte ich ja immer das Zufallsglück, dass ca. 20-40% nicht erkannt werden (auch wenn davon nicht alles echt oder lauffähig ist)

Der Beitrag wurde von SLE bearbeitet: 22.08.2011, 18:44

[markusg]

@voyager, warum sollte es denn keine fps bei websites geben, dass gibts schon seit dem es url blocker gibt....
wenn du zb services blockst die bekannt dafür sind, dass sie häufig malware hosten, aber jemand nun ne saubere seite bei diesen services hatt, dann wird diese seite auch blockiert. oder die seite wird einfach fälschlicher weise geblockt, passiert des öffteren.
@SLE 
kommt vllt drauf an, wie viele seiten man testet etc.
ich persönlich komme auch nie auf 99 %
und nur weil av-comp die seiten nicht an hersteller versendet, heißt es ja nicht, dass die deswegen unerkannt sind, av-hersteller durchsuchen das web ja auch nach solchen seiten.

[IBK]

die hersteller bekommen ihre nicht-erkannten fälle nach dem test.
MDL usw. enthält öfters auch mal nicht-malware oder anderen junk, sowie URLs auf die kein user im normalfall unterkommen würde. also wie man heutzutage gerne sagt: "nicht prevalent".
wenn ihr (als echte user) aber mal zufällig im Alltagssurfen auf eine malicious URL stößt, könnt ihr mir die gerne zuschicken.