Virus Info Testing, hat für 10/2007 folgendes ermittelt Einstellungen

[maxos]

Also die Russen kämen zu diesen Ergebnissen:

http://virusinfo.info/index.php?page=testseng

Die Details sind z.b. hinsichtlich der Erkennungsart richtungsweisend:
Signaturen : rot
Heuristik: orange


Der Beitrag wurde von maxos bearbeitet: 19.11.2007, 11:46

[Rene-gad]

Also die Russen kämen zu diesen Ergebnissen

FYI: Das Virusinfo.info-Forum, wo meine Wenigkeit auch als Moderator tätig ist, beschäftigt sich mit Malware-Bekämpfung mit Hilfe des Tools AVZ4. Falls Jemand eine Auskunft über das Forum oder AVZ braucht - bitte eine PM an mich schreiben. Wenn ich auch nicht imstande werde, die Antwort sofort zu geben, leite ich gerne Eure Angelegenheit an VI-Administration bzw. direkt an Oleg Zaitzew, der seit ein paar Monaten auch als freier MA bei KL tätig ist.

[diddsen]

danke für den link
ist ja sehr interessant, aber bestätigt eigenlich meine meinung die ich schon länger habe.... antivir ist trotz aller kontras wo man ihm nachsagt schwer im rennen.

@rene-gad
was ist denn das für ein megateil
scheint aber noch ganz am anfang zu stehen? ob man das auf seinem produktivsys ausführen sollte

[BluesBrother]

was zum geier is´n das letzte für´n programm?!

[Rene-gad]

was ist denn das für ein megateil
scheint aber noch ganz am anfang zu stehen?

was zum geier is´n das letzte für´n programm?!

Das ist ja ein ewiges Beta-Tool, was das Nicht-Russische Interface betrifft - es ist sehr schwer, jemanden zu finden, der eine anständige Übersetzung des Interfaces macht. Im russischsprachigen Netz wird das Tool dagegen sehr erfolgreich gegen den Plagen eingesetzt - sowohl im VI als auch im KAV-Forum (leider aus den oben genannten Gründen nur im russischen Unterforum: http://forum.kaspersky.com/index.php?showforum=18) , wobei man mit den krummen Händen und DAU - Mentalität keine Chance hat , damit die Sache in Griff zu bekommen. Das ist der Grund dafür, dass jedem persönlich geholfen wird, d.h. - man darf die für die Anderen geschriebenen Scripts bei sich nicht anwenden.
Das Tool erstellt die Logs im HTM-Format, darauf basierend kann ein Script halbautomatisch erzeugt und ausgeführt werden. Ein Mann mit PC-Kenntnissen bekommt aus dem AVZ-Log viel mehr Infos über die Prozesse, Startups und Dienste, als aus dem HJT-Log, z.B.

ob man das auf seinem produktivsys ausführen sollte

Das Ausführen des automatischen Scripts 2 Advanced System Investigation stellt keine Gefahr dar . Übrigens: weitere Infos kann man hier im Englischen erhalten: http://virusinfo.info/forumdisplay.php?f=9...amp;%3blangid=1
EDIT: Wer Lust hat, das Tool zu testen, bitte beachten, dass die automatischen Updates für englische Version funktionieren nicht. Die Datei http://z-oleg.com/secur/avz_up/avzbase.zip muss heruntergeladen und der Inhalt in den Ordner \\AVZ\Base\ entpackt werden.

Der Beitrag wurde von Rene-gad bearbeitet: 19.11.2007, 15:26

[Krond]

......aber bestätigt eigenlich meine meinung die ich schon länger habe.... antivir ist trotz aller kontras wo man ihm nachsagt schwer im rennen.

Hmm, du entnimmst aber der Tabelle eindeutig, dass der Vorsprung nur durch "Pack/Crypt" erzeugt wird. IMHO ist das eine Meldung des Scanners, wenn er mit dem entsprechenden Packprogramm nichts anfangen kann, dann gibt er halt sicherheitshalber eine solche aus. D.h. aber noch lange nicht, dass da etwas erkannt wurde....schon gar nicht richtig....Ansonsten mit Signaturen und Heuristik ist er hinter KL, Dr.Web, Bitdefender, Ikarus und F-Secure. Also eher mittelprächtig....

[chris30duew]

naja ob der test was aussagt???
im vergangenen chip test war norton NIS2008 mit abstand bester erkenner wenns um die gepackten dateien ging und auch was die bereinigung angeht und grad avira schnitt dort am schlechtesten ab.

in diesem Test lungert Norton irgendwo ganz unten rum. kann ja nicht grad sein oder? ausserdem sagt der tests nichts über die FPs mit denen diese erkennungen "erkauft" wurden.

sowohl avira als auch IKarus, grad ikarus sind für ihre massigen FPs bekannt, da nützt dann auch ein noch so gutes ergebnis nix (siehe auch letzten einzeltest Ikarus von av-comp)

Was sagt uns der test nun? das wir schon wieder dass AV programm wechseln sollten? weil die erkennung hier wieder ganz anders ist als in den tests wie chip, pcwelt etc?...

eigentlich macht man sich doch selber verrückt

@krond
so sehe ich das auch! grad bei diesen meldungen wenn der scanner einfach mal packed oder cypted rausgibt sind oftmals FPs dabei. leider grad auch bei Ikarus. mich würde echt mal der FP gehalt hier interessieren...

das schlechte abschneiden von norton wundert mich......wurde die heuristik ausgeschaltet????

Der Beitrag wurde von chris30duew bearbeitet: 19.11.2007, 15:52

[maxos]

- Aufgrund des Umstandes, dass etwas gepackt ist, hatte da Fortinet normal bei Jotti od. Virustotal nicht immer egal was war angeschlagen. Hier in dem Bereich nichts zu sehen. Vielleicht hat Fortinet ja da was geändert.
Sagt also nur bedingt was aus. Ein guter Scanner schlägt so od. so noch rechtzeitig beim Entpacken an.

- Suspicious file, ja manche Scanner melden schnell was als suspekt od. verdächtig - der User kann dann endlos herumsuchen ob nun was ist od. wie meist false positive.

Deshalb zählen für mich in der Übersicht vornehmlich die Erkennungsleistung aufgrund von Signaturen u. Heuristik.
Denn dann liest sich die Sache ganz anders, weil Esave od. Panda melden halt viel als suspekt, im Gegensatz dazu Bitdefender od. Kaspersky sagen klar mittels Sigs od. Heuristik was Sache ist.

In der Praxis ist mir das lieber, weil siehe oben, mittels Meldung suspekt vom Scanner hat man nur viel Arbeit selber zu verifizieren was nun Sache ist.

@Chris

Ikarus hat aber lt. Übersicht gezielt u. genau mittels Signaturen die Übeltäter erkannt !!

Der Beitrag wurde von maxos bearbeitet: 19.11.2007, 16:10

[chris30duew]

@maxos
ja da hast du recht. wundert mich ehrlich etwas, da man ja von Ikarus (auch eigene erfahrung) FPs gewohnt war. mehr als genug. Aber vll wurde das ja nun in den Griff bekommen oder beim Test "grosszügig" übersehen.

Ansonsten pflichte ich dir bei, das auch für mich die Erkennung von Signatur und Heuristik nur interessant ist.

Wobei vll auch bewusst gepackte und infizierte dateien dabei waren grad um zu testen wie gut und richtig packed/crypt erkannt wird.

Warum nur Norton so schlecht ist?

Man beachte auch Dr. Web. Sicher in der neuen version 4.44. Wächst da ein neuer guter Scanner heran?

bei AV comp. schneidet er weniger gut ab. das es immer diese diverenzen geben muss und es nicht mal n ergebnis gibt das eindeutig auf ein programm zeigt.......hier ist das programm gut, dort wieder nicht, dafür ist ein anderes nun besser....

zum verrückt werden

Der Beitrag wurde von chris30duew bearbeitet: 19.11.2007, 16:19

[diddsen]

@all

na ja, ist antivir wirklich so für FP berüchtigt?
habe wie gesagt bei einigen leuten die prem. laufen und muss sagen, dass es sich sehr in grenzen hält...eigentlich ist nie etwas, was FP auslöst.
ein fall kürzlich, da wurde everestultimate erkannt, als was weiss ich nicht mehr.
aber ich denke das passiert auch kav oder nis ab und an bei bestimmten progs.
lieber eine mal falsch erkannt, als zweimal nichts oder?

von daher, kann man sich wirklich nicht festlegen auf FP. klar, wenn es definitiv erkennbar ist dass FP überhand nimmt und in keinem verhältnis zum nutzen steht, ist es meines erachtens für normalos nicht tragbar, denn im endeffekt klingelt doch bei uns "fachmännern" dann wieder das telefon

und auf av-comp. schnitt antivir wohl nicht schlecht ab oder ?

es gibt natürlich andere aspekte noch wo eigentlich in eine beurteilung miteinfliessen sollten, wie selbstschutz usw., aber so einen test wird es wohl nie geben, der alles beinhaltet.

Der Beitrag wurde von diddsen bearbeitet: 19.11.2007, 16:49

[Gast_Scrapie_*]

Hi

Der "Test" disqualifiziert sich allein durch die minimale Anzahl der Samples, welche mit keiner noch so schlechten Statistik wieder gutgerechnet werden können.
Glaubt man Kaspersky, dann traten allein im ersten Halbjahr 2007 über 90.000 neue Schadprogramme auf. Macht im Monat ~15.000 Stück. Dazu im Vergleich einen "Test" mit 70 Stück zu veröffentlichen ist ... *gähn*. Zumal man auch nichts über die Verteilung der versch. Gruppen im "Testset" erfährt.

*
Scrapie

[Krond]

Ganz so negativ würde ich das mit den wenigen Samples jedoch nicht sehen, weil - wenn man liest - dort genau steht, warum gerade diese Samples (welche auch immer) genommen wurden:

1) The sample should not be detected by the anti-virus software that protects the infected machine.

2) The sample should be found by the consultant him/herself in a real infection case.

3) The sample should not be taken from some other site or from some other collection of malware.

Insofern denke ich, dass da schon eine gewisse Aussagekraft dahinter steht. Zumindest gleich viel, wie in so manchen Heft-Vergleichs-Über-Drüber-Tests....

[maxos]

Die Ergebnisse für November sind eingetroffen mit doch stärkeren Veränderungen

z.b. AVG auf einmal bärenstark
Kaspersky zurückgefallen u. kaumst Treffer mit der Heuristik
usw.

http://virusinfo.info/index.php?page=testseng

[diddsen]

Die Ergebnisse für November sind eingetroffen mit doch stärkeren Veränderungen

z.b. AVG auf einmal bärenstark
Kaspersky zurückgefallen u. kaumst Treffer mit der Heuristik
usw.

http://virusinfo.info/index.php?page=testseng

na ja, wieder ein "test" mehr.... damit kann ich überhaupt nix anfangen

[Rene-gad]

na ja, wieder ein "test" mehr.... damit kann ich überhaupt nix anfangen

Dies ist kein Test im Sinne "Verschiedene AV.Programme durch die Virensammlung zu jagen". VI arbeitet folgendermaßen: Jede ( r ) Hilfesuchende ist durch die Forum-Regeln verpflichtet, 3 Logs herzustellen: 1 x HJT-Log +2 AVZ-Logs - vor und nach der automatischen Säuberung. Darauf basierend wird von einem Helper (die Hilfeleistung ist nicht jedem Boardie erlaubt) ein od.- je nach Bedarf - mehrere Scripts erstellt. Ein Teil diesen Scripts sorgt für den Transport der verdächtigen Dateien in die Quarantäne. Die Quarantäne durch Upload wird sowohl für die Helper als auch für das Virenlabor bei KL zugänglich. Der Helper lädt die nach der Art gesammelten Dateien auch durch Virustotal. So entstehen die Daten für die veröffentlichte Statistik.
Noch zu bemerken, dass die VI-Klientel ausschließlich aus dem ehem. sowjetischen Web-Raum stammt, wo auch die ITW-Statistik etwas anders aussieht.

[v00d00]

http://virusinfo.info/index.php?page=testseng

Die Details sind z.b. hinsichtlich der Erkennungsart richtungsweisend:
Signaturen : rot
Heuristik: orange

Sehr anschaungsvoll.
Wie könnte es aber in der Praxis ausschauen?

Ich habe einen kurzen Test gemacht. Da ich kein Experte bin könnte ein jeder meinen Test wiederholen um sich selber zu überzeugen.

Ich habe einen uralten Rootkit (Fu.exe) bei Jottis hochgeladen.
Fast alle AVs haben es brav erkannt.
Dann habe ich es mit Armadillo gepackt. Dauerte 1 Minute. Habe es wieder bei Jottis hochgeladen und kaum einer hat es mehr erkannt.
Mit Hex-Editor und Compiler können nicht sooo viele umgehen aber ein File zu packen kann fast ein jeder.
Dann habe ich AntiVir downgeladet da es überall so gut abschneidet.
Alte Samples die AntiVir ansonsten erkennt habe ich mit einem trivialen Packer (ASPack) komprimiert. Das Ergebnis, sie wurden nicht mehr erkannt.

Fazit: Signaturen sind bei Weitem nicht alles.
Eine solide Unpack-Engine gehört auch dazu. Darüber aber schweigen die meisten aus gutem Grund. Die Anzahl der AVs mit einer brauchbaren Unpack-Engine ist nämlich erschreckend klein.
Man braucht keine Unpack-Engine um Testsieger zu werden oder bei VB die 100% zu erhalten aber ein unerfahrener User der sich auf so ein Produkt verlässt kann sehr leicht und schnell böse Überraschungen erleben.

MfG
v00d00

Der Beitrag wurde von v00d00 bearbeitet: 25.12.2007, 13:15

[maxos]

Februar 2007 ist Online:

http://virusinfo.info/index.php?page=testseng

[IBK]

virusinfo ergebnisse sind leider völlig gaga.

Der Beitrag wurde von IBK bearbeitet: 10.03.2008, 14:46

[Rene-gad]

virusinfo ergebnisse sind leider völlig gaga.

Kannst Du Deine Aussage begründen?

[markus17]

Also ich behaupte mal, dass dort sehr viele False/Positives hochgeladen werden ...