Virensignaturen von AV Programmen, warum unterschiedlich ? Einstellungen

[Gast_Faith_*]

da ich mich ja intensiv mit AV Proggis auseinander setze, kommt mir jetzt doch eine Frage auf, wegen den Virensignaturen der unterschiedlichsten Firmen.

Ich fang mal an:

KAV: ca. 80000 Signaturen
Panda: ca. 70000 Signaturen
NAV: ca. 66000 Signaturen
McAfee: ca. 65000 Signaturen

andere weitaus niedriger .....

kann mir einer erklären, warum diese unterschiede ? .... das habe ich nie verstanden.

muss das jetzt zwangsläufig so verstanden werden, dass AV´s die weniger Signaturen haben, weniger auffinden oder ist es so zu verstehen, dass sie die Signaturen komprimiert haben ?

Oder kann man es mit den Signaturen etwas übertreiben ?

kann mich da jemand mal aufklären, den ich habe bis heute keine zufriedene Antwort gefunden.


Faith

[Gast_rock_*]

hey faith,

wie kommst du denn auf diese zahlen? ich glaub die wo so viel erkennung ist, die werden auch noch all den ur-alt schmarren bemerken, der seit vielen jahren garnimmer der rede wert ist. oder eben auch viel trojanererkennung, die is ja nicht so perfekt bei allen. aber das mc afee hier aber so weit hinten ist, hätt ich nicht gedacht.

gruss
rock

[Rokop]

Die Anzahl der Signaturen ist von vielen Dingen abhängig und man kann schon gar nicht sagen, daß mehr auch gleich besser sein muß.

Die Anzahl kann z.B. abhängig sein von:

- Anzahl der erkannten Malware
- Vorhandensein ein Unpackengine
- Signaturen von Uraltviren die gar nicht mehr lauffähig sind
- Vohandensein von generischen Erkennungen
- usw.

Nur um es zu verdeutlichen, man kann um 20 verschiedene Varianten eines Wurmes auch 20 Signaturen haben oder nur eine Einzige. Je mehr Signaturen ein Programm besitzt, umso größer die Datenbank und umso (theoretisch) auch langsamer das Programm.

[Gast_*Christian*_*]

Also bei KAV hab ich auf der ganzen Website die Anzahl von 80000 nicht gefunden.
Lediglich: KAV erkennt z. Zt. 80000 Viren.
Die Erkennung hat ja mit den Signaturen nichts zu tun.

Was ich mich schon immer fragte: Chip, PCWelt, usw. ......
Alle machen Test's. Aber warum stellen sie dann die nichtgefundene Malware
den Softwareherstellern nicht zur Verfügung.
So könnte man doch in kürzester Zeit den Virenschutz eines Programmes deutlich erhöhen.

[Gast_rock_*]

Die Anzahl kann z.B. abhängig sein von:
Je mehr Signaturen ein Programm besitzt, umso größer die Datenbank und umso (theoretisch) auch langsamer das Programm.

na bestens, wie sieht sowas bei antivir pe aus, der hat als ganzer nichtmal 4 MB!
im vergleich zu vielen anderen scannern, die aber auch "schnell" sein können und sind, hat sowas wie Norton doch glatte 40 MB, also 10mal antivir pe würd da reinpassen!! allein die updates sind größer wie der kostenlose scanner! aber nur der virenscanner, von systemworks oder was so gibt, will ich die größe erst garnet wisssen.
ich glaub das auch viel andere faktoren eine rolle spielen das ein virenscanner "langsam" oder "schnell" arbeitet.

wie meinst du denn das eigentlich. langsam im hochkommen und der pc kommt einem langsam vor, oder beim absuchen der platte, die engine sozusagen. da haben ja einige hersteller schon einen schönen speed für das durchchecken der festplatte gesorgt.
bei mc afee dauerts wirklich ein bissl länger beim komplett-scan auf alle dateien, panda war da ziemlich schneller was ich mich zurückerinnere.

gruss
rock

edit: es hängt auch davon ab, wie lang ein scanner an einem archiv rumfummelt!

Der Beitrag wurde von rock bearbeitet: 30.12.2003, 14:02

[Rokop]

Ich glaube ich werde hier systematisch falsch verstanden. Mit Größe meine ich nicht die Größe in MB sondern je mehr Signaturen desto mehr Einträge in der Datenbank umso mehr muss verglichen werden also umso langsamer im Vergleich zu einer kleineren Datenbank.
Das natürlich die Geschwindigkeit der Programme untereinander nicht anhand der DB Größe verglichen werden kann ist ja wohl logisch.

bei mc afee dauerts wirklich ein bissl länger beim komplett-scan auf alle dateien, panda war da ziemlich schneller was ich mich zurückerinnere.

Ist ja klar, Panda hat ja auch kein Unpacking ! = Scheinsicherheit !

[Gast_rock_*]

Ist ja klar, Panda hat ja auch kein Unpacking ! = Scheinsicherheit !

au backe!! das hab ich garnicht gewusst!! na da bin ich aber echt platt.
mensch, wie war ich verliebt in den panda, aber wenn das so ist.....

gruss
rock

edit: wuste garnicht das man bei chip auch die Mc Afee dat's laden kann:
http://www.chip.de/downloads/c_downloads_8832680.html

Der Beitrag wurde von rock bearbeitet: 30.12.2003, 15:19

[Gast_rock_*]

Was ich mich schon immer fragte: Chip, PCWelt, usw. ......
Alle machen Test's. Aber warum stellen sie dann die nichtgefundene Malware
den Softwareherstellern nicht zur Verfügung.

hmm...so ähnlich frag ich mich das immer wenn leute in foren ihre fehlalarme posten oder seiten erwähnen wo sie Dialer oder trojaner erwischt haben.
da könnte ja der virenschutz-software-hersteller auch gleich selber hinsurfen und sich die dinger einsammeln. ich glaub die wissen aber eh selbst wo was zu finden ist. aber dafür gibt's ja die vielen mailadressen der verschiedenen anbieter, wo man "gefundenes" hinsenden kann, damit es bei nächsten updates berücksichtigt wird. ich hab unlängst mal von dir gelesen das du ständig DIALER an Antivir PE sendest. bis das dann mal wirklich funktioniert und fertig sein wird bei antivir pe, falls überhaupt jemals, dann müsstens eh schon ne schöne sammling von dir haben!!

[Rokop]

Ich werde auch oft gefragt, ob ich unerkannte Malware bei Tests einschicke. In den meisten Fällen ist es jedoch so, daß ich die Malware schon vor den Tests über meinen Verteiler versendet habe. Wenn dann ein halbes Jahr später die Sigs noch nicht drin sind, kann ich es auch nicht ändern. Außerdem macht es mitunter recht viel Arbeit, aus mehreren hundert samples die unererkannten rauszusuchen. Das heisst Log Dateien studieren, Verzeichnisse durchsuchen usw.

[Gast_*Christian*_*]

ich hab unlängst mal von dir gelesen das du ständig DIALER an Antivir PE sendest. bis das dann mal wirklich funktioniert und fertig sein wird bei antivir pe, falls überhaupt jemals, dann müsstens eh schon ne schöne sammling von dir haben!!

Warum? Die Dialererkennung funktioniert doch schon längst wieder.
Ja, ich frag mich auch, warum AntiVir nicht in der Lage ist bzw. nicht in der Lage sein will mehr Dialer zu erkennen. An Tausch hat man kein Interesse. Vielleicht sollten sie sich ja doch noch mit Andreas Haak in Verbindung setzen.
Manchmal frage ich mich ob die bei H+B EDV eigentlich nur die Maleware zu den Signaturen einfügen, die eingeschickt wurde. .......

@rokop
Versteh ich es richtig, dass du schon vor den Test's die Maleware verschickst?
Was bringt dann ein Test überhaupt noch??

[IBK]

warum stellen sie dann die nichtgefundene Malware
den Softwareherstellern nicht zur Verfügung.
So könnte man doch in kürzester Zeit den Virenschutz eines Programmes deutlich erhöhen.

eigentlich verfügen die Hersteller bereits über verschiedene Sammlungen; so gut wie alle großen AV-Hersteller stellen ihre Sammlungen untereinander zur Verfügung. Hinzufügt wird aber meist nur das, was die für sinnvoll betrachten oder wenn sie mal grad Zeit haben. Ordentliche Signaturen für alle Samples zu erstellen braucht Zeit, die meisten tun sich diese Mühe nicht an.

[Rokop]

@rokop
Versteh ich es richtig, dass du schon vor den Test's die Maleware verschickst?
Was bringt dann ein Test überhaupt noch??

Ich verschicke nicht vorher die kompletten Testsets, sondern verteile über einen Verteiler unerkannte Malware, so wie sie reinkommt, an alle AV`s. Ob die sie nun einpflegen bzw. wann ist deren Sache.

Um aber noch etwas klarzustellen: Ich mache die Tests nicht um irgendwelche Hersteller vorzuführen, sondern um daran mitzuwirken, daß die Programme mit der Zeit besser werden.
Jedes unerkannte Malwaresample geht daher zeitgleich oder zeitnah an die Hersteller. Was dann letztendlich dabei rauskommt, kannst Du inunseren Tests nachlesen.

[Gast_*Christian*_*]

eigentlich verfügen die Hersteller bereits über verschiedene Sammlungen; so gut wie alle großen AV-Hersteller stellen ihre Sammlungen untereinander zur Verfügung. Hinzufügt wird aber meist nur das, was die für sinnvoll betrachten oder wenn sie mal grad Zeit haben. Ordentliche Signaturen für alle Samples zu erstellen braucht Zeit, die meisten tun sich diese Mühe nicht an.

Wenn dies wäre, dann würden doch die Konkurrenten die gleichen Erkennungsraten haben.
Ich weiss jedenfalls nur, dass H+BEDV kein Interesse an einem Tausch hat.
Auch für Lavasoft kommt kein Tausch in Frage.
Lieber wird auf die Signatur verzichtet.
Verstehe ich irgendwie nicht.

[Rokop]

Ich weiss jedenfalls nur, dass H+BEDV kein Interesse an einem Tausch hat.

Kein Interesse mit ganz bestimmten Personen zu tauschen, das ist zumindest mein Wissensstand

[Gast_*Christian*_*]

Jedes unerkannte Malwaresample geht daher zeitgleich oder zeitnah an die Hersteller. Was dann letztendlich dabei rauskommt, kannst Du inunseren Tests nachlesen

Warum wird dann mit der Malware so "grob" umgegangen. Normalerweise sollten doch die Hersteller dankbar dafür sein. Also meine Dialer sind immer 2 Tage später in den Signaturen drin.

[Gast_*Christian*_*]

Kein Interesse mit ganz bestimmten Personen zu tauschen, das ist zumindest mein Wissensstand

Oder so.
Du meinst jetzt sicherlich Andreas Haak. Wieoft hat er z. B. H+BEDV angeboten zu Tauschen. So könnte AntiVir seine Dialererkennung um ein vielfaches erhöhen.

[IBK]

Wenn dies wäre, dann würden doch die Konkurrenten die gleichen Erkennungsraten haben.
Ich weiss jedenfalls nur, dass H+BEDV kein Interesse an einem Tausch hat.
Auch für Lavasoft kommt kein Tausch in Frage.
Lieber wird auf die Signatur verzichtet.
Verstehe ich irgendwie nicht. 

Haben sie mehr oder weniger auch - relativ gesehen.

Tausch? Bist Du ein AV-Hersteller oder so? Also ich bekomme (einige) Sammlungen, von einigen sogar freiwillig ohne dass ich nachfragen musste.
AV-Hersteller tauschen nicht Malware mit irgendjemanden; da passen die schon auf - schließlich könntest Du ja ein "Terrorist" oder ein VXer sein. Wenn eine Firma mit solche Aktivitäten in Verbindung gebracht wird (auch nur ansatzweise), dann werden die gleich ausgeschlossen und stecken in der Tinte.
Wie gesagt, mit anderen zu tauschen brauchen AVer nicht, denn die bekommen bzw. haben eigentlich alles was sie wollen.

Der Beitrag wurde von IBK bearbeitet: 30.12.2003, 20:46

[wizard]

Kein Interesse mit ganz bestimmten Personen zu tauschen, das ist zumindest mein Wissensstand

Das ist wohl der springende Punkt...

wizard

[Gast_*Christian*_*]

Ja, ich bin Top-VXer

Der Beitrag wurde von *Christian* bearbeitet: 30.12.2003, 17:30

[Gast_rock_*]

hey faith,
wegen der 65000 signaturen die du bei Mc Afee dazugeschrieben hattest, auf der homepage von mc steht eine story mit 81000...
RAV hat über 85000 hab ich gestern auf der homepage gelesen...
mc afee:
More than 81,000 threats exist today. The McAfee AVERT Virus Information Library has detailed information on where viruses come from, how they infect your system, and how to remove them.

gruss
rock