Schädlingserkennung im Dauertest, Alle 2 Wochen neu von CB Einstellungen

[Solution-Design]

Mal eine Frage zu Norton: Hat Norton ein HTTP-Wächter an Bord? Ich frage deshalb, weil die gepackten Eicar-Dateien heruntergeladen und erst dann erkannt werden, wenn ich diese explizit entpacke und die Datei ausführe (WinXP SP3)....

Nur wenn er Malware scannt. Hier ein wenig zur Funktionsweise des HTTP-Wächters: http://www.rokop-security.de/index.php?sho...mp;#entry248114

weiters schreibt die c't:
"Selbstverständlich haben wir dafür auf das Erbsenzählen nicht verzichtet: An rund einer halben Million Schadprogrammen aus den letzten Monaten mussten die Scanner ihre Basisfertigkeiten beweisen."

aufs erbsenzählen würd ich auch weiterhin nicht komplett verzichten (als user möcht ich außerdem dass es gar nicht erst dazu kommt dass ich die malware ausführen muss bis sie erkannt und hoffentlich komplett geblockt wird).

Danach wären on-execution-Programme wie z.B. asquared nicht dein Ding? Dort muss Malware nämlich erst ausgeführt werden. Auch wenn suspekte Hosts direkt geblockt werden und der Malware-Download somit unterbunden wird.

du musst nicht unbedingt on-demand scannen (sollte man aber trotzdem regelmäßig), was on-demand erkannt wird wird normalerweise auch on-access von deinem wächter erkannt. on-access ist nicht on-execution und schützt dich noch bevor etwas ausgeführt wird (und vieles wird dank scannern bei mailgateways - wo auch nix ausgeführt wird - rausgefiltert).

Das ist korrekt. OnAccess-Wächter rödeln die ganze Zeit auf der Festplatte herum und sorgen für Performance-Einbußen. Ob es dadurch sicherer wird. Nur wenn die ausführbare Datei sofort erkannt wird, verhindere ich eine Installation, aber dies auch in beiden Fällen. Auf einen OnDemand-Scan würde ich aber auch nie verzichten wollen. Zuviel Malware wird eben nicht erkannt oder zu spät eingepflegt.

Mit Sandboxie und Returnil ist noch nie etwas "daneben" gegangen, was bei FD-ISR ohnehin nur ganz schwer vorstellbar ist. Selbst wenn, würde ich einfach einen anderen Snapshot booten.
Und was soll mit einem Imageprogramm wie ShadowProtect ein "absichtlich falsch beschriftetes Programm" bewirken?

Er sprach von Massentauglichkeit. Natürlich gibt es tolle Programme wie FirstDefense-ISR. Aber wer nutzt das? Wenn ich darüber nachdenke, wie viele Lieschen Müllers mit einem Image-Programm überfordert sind (ich weiß, gleich behauptest wieder ich würd sagen, die ganze Welt ist doof), dann bleibe ich lieber bei einem OnAccess-Programm mit regelmäßigem OnDemand-Scan und erweiterten Erkennungsmöglichkeiten. Whitelisting halte ich persönlich für die sauberste Möglichkeit. Das AV, der User wird darüber informiert, dass irgendetwas auf seinem Rechner geändert werden soll/sollte und gut ist. Je weniger Informationen, je besser. Returnil, um eines von vielen Programen zu nennen, ist eine feine Sache um Software zu testen, welche keinen ReBoot erfordert. Windows SteadyState genial für öffentlich zugängliche PCs. Aber irgendwie nix für den Normalo-User, der an seinem PC einfach nur arbeiten möchte und ab und zu sich der Versuchung hingibt, ein ihm nicht bekanntes Progrämmchen aus dem schönen Internet zu starten. Asquared, so viel ich auch von diesem Programm halte, erwähne ich nicht bei Jedem. Viel zu viele Nutzer, welche mir in Photoshop und InDesign die dollsten Dinge um die Ohren hauen, sind mit dem Thema Systemschutz überfordert. Ich denke, es ist durchaus sinnvoll, Dinge wie OnAccess und OnDemand weiter zu behalten. Interessanterweise schaltet auch kaum ein Normalo den OnDemand-Scan ab, insofern er nicht Stunden dauert. Es wird hingenommen, so wie die Erstkonfiguration eines AVs bei der Installation bestehen bleibt. Woher meine Meinung stammt? Nun, vielleicht aus einer Zeit, in welcher ich noch recht intensiv bei Privatkunden Systeme aufgebaut, konfiguriert und wieder hergestellt habe? Glaub mir, ich kenne mittlerweile viele viele hundert Lieschen Müllers persönlich.

[Julian]

On Execution-Scan allein reicht nicht, denn viele Lieschen Müllers surfen mit IE6 auf Updatestand von vor drei Jahren rum und auch die sonstigen installierten Programme strotzen Dank fehlender Updates vor Sicherheitslücken, die oft exploitet werden.
Die einfachste Lösung ist da einfach ein AV / eine IS, die das System aktuell hält und einen HTTP-Scanner hat.

[albatros]

Die einfachste Lösung ist da einfach ein AV / eine IS, die das System aktuell hält und einen HTTP-Scanner hat.

Dem kann ich mich nur anschließen, vor allem ein Wächter des HTTP-Verkehrs macht gerade in heutiger Zeit Sinn, um vor manipulierten Seiten zu warnen und diese zu sperren und andererseits um malwarebefallene Dateien nicht erst nach dem Herunterladen als Gefahr für den Computer einstufen zu können.

[subset]

On Execution-Scan allein reicht nicht, denn viele Lieschen Müllers surfen mit IE6 auf Updatestand von vor drei Jahren rum und auch die sonstigen installierten Programme strotzen Dank fehlender Updates vor Sicherheitslücken, die oft exploitet werden.

Du hast vergessen zu erwähnen, dass Lieschen Müller seit zwei Jahren das Fenster des AVs wegklickt, das sie zusammen mit ihrem Komplett-PC erwarb.
Das Fenster mit mit dem Hinweis, dass ihre Lizenz abgelaufen ist.

Viele Lieschen Müllers, die solche AVs mit ihren neuen PCs mitgeliefert bekommen, würden nie auch nur im Traum daran denken, für eine Lizenzverlängerung zu bezahlen.
Nach deren Ablauf steigen sie im günstigeren Fall auf ein kostenloses AV um, im ungünstigeren Fall machen sie einfach gar nichts, abgesehen vom Wegklicken des Hinweises bei jedem Start.

MfG

[Julian]

Nach deren Ablauf steigen sie im günstigeren Fall auf ein kostenloses AV um, im ungünstigeren Fall machen sie einfach gar nichts, abgesehen vom Wegklicken des Hinweises bei jedem Start.

Nun hast aber du deinerseits vergessen zu erwähnen, wie denn dafür die Lösung aussähe?

[subset]

Nun hast aber du deinerseits vergessen zu erwähnen, wie denn dafür die Lösung aussähe?

Na, die Lösung im speziellen Fall wäre wohl, die Komplett PCs mit kostenlosen AVs, Suiten oder was immer auszustatten, die also auch nach 3/6/12 Monaten noch funktionieren.

Im Allgemeinen wollte ich aber nur verdeutlichen, dass Lieschen Müller eine gleichermaßen wehrlose wie willige Frau ist, die sich für jeden Unsinn vereinnahmen lässt.

MfG

[Solution-Design]

Du hast vergessen zu erwähnen, dass Lieschen Müller seit zwei Jahren das Fenster des AVs wegklickt, das sie zusammen mit ihrem Komplett-PC erwarb. Das Fenster mit mit dem Hinweis, dass ihre Lizenz abgelaufen ist.

Interessanterweise kann ich dieses überhaupt nicht bestätigen. Auch wenn ich schon länger aus dem Geschäft heraus bin, so bekomme ich von den Lieschen Müllers und Otto Normalbürgers nach einiger Zeit dann Emails, in welchen ich dann gefragt werde, was denn jetzt zu tun sei. Es gibt also doch einen Unterschied zwischen doof, sorglos und einfach nur unwissend. In fast allen Fällen waren übrigens die PCs der Frauen immer die saubersten. Nur mal so erwähnt. Natürlich sind schlappe 130 Damen in dieser Männer beherrschten PC-Welt auch in meinem Falle nicht eine Anzahl, mit welcher sich eine Statistik aufbauen lassen würde, aber eben ein Trend. Eher trifft das zu, was Julian ansprach: Außer dem reinem Betriebssystem wurde nichts aktualisiert. Eben nur das, was sich ohne User-Aktion selbst installiert. Standard-Security-Patches welche ohne Klickerei auskommen. Daher stammt auch meine Meinung, das AVs oder Suiten so wenig wie möglich/nötig den Nutzer belästigen sollten, dem Interessierten aber dann doch alle Wege offen lassen. Man schaue sich den letzten c't-Test von aquared an: Nicht empfehlenswert wegen zu vieler Meldungen. Das ist der Trend, alles soll von alleine funktionieren. Diesen Weg schlagen glücklicherweise immer mehr Hersteller ein.

[Julian]

Es müsste unter Windows eine globale Updatefunktion geben, die sämtliche Software umfasst. Etwas in der Art gibt es bei den meisten Linuxdistributionen, zumindest wenn die entsprechenden Updaterepositories eingerichtet sind.
Vielleicht sollte MS auch dahingehend von anderen Plattformen abkupfern...

[Gast_Nightwatch_*]

In fast allen Fällen waren übrigens die PCs der Frauen immer die saubersten. Nur mal so erwähnt. Natürlich sind schlappe 130 Damen in dieser Männer beherrschten PC-Welt auch in meinem Falle nicht eine Anzahl, mit welcher sich eine Statistik aufbauen lassen würde, aber eben ein Trend. Eher trifft das zu, was Julian ansprach: Außer dem reinem Betriebssystem wurde nichts aktualisiert. Eben nur das, was sich ohne User-Aktion selbst installiert.

Aus meinen Erfahrungen kann ich alle obigen Aussagen bestätigen.

Es müsste unter Windows eine globale Updatefunktion geben, die sämtliche Software umfasst. Etwas in der Art gibt es bei den meisten Linuxdistributionen, zumindest wenn die entsprechenden Updaterepositories eingerichtet sind.
Vielleicht sollte MS auch dahingehend von anderen Plattformen abkupfern...

Ein sehr interessanter Ansatz. Allerdings würde ich es noch besser finden, wenn die einzelnen Hersteller der wichtigsten Applikationen (Java, Browser, Adobe, Player etc.) ihre automatische Update-Funktion deutlich verbessern. Dieser Weg wäre der einfacherer der beiden und, so denke ich, genauso gut wirksam.

Zur AV-Problematik:
Es wird imo niemals ein genauso sicheres AV-Programm im Automatikmodus geben, wie eines im interaktiven Modus. Das ist und wird wohl leider auch Fakt bleiben. Liegt an der Natur der Sache und dem Stand der Technik. Das ist aber auch überall so. Beispiel Auto: Hier ist es das Geld, was bestimmte Sicherheitsfunktionen ein- oder ausschaltet. Beim PC ist es eben das Know-How. Im Übrigen ist es mir so deutlich lieber . Lieber weiter lernen können, als sich finanziell einfach nicht weiter verbessern zu können. Zumindest ist der Wettbewerb fairer.


Liebe Grüße,
Nightwatch

[scu]

Ein sehr interessanter Ansatz. Allerdings würde ich es noch besser finden, wenn die einzelnen Hersteller der wichtigsten Applikationen (Java, Browser, Adobe, Player etc.) ihre automatische Update-Funktion deutlich verbessern. Dieser Weg wäre der einfacherer der beiden und, so denke ich, genauso gut wirksam.

Das Problem dabei ist, dass jedes Programm welches sich aktualisiert auch immer eine Applikation beim Systemstart startet...
Viele haben dann auch noch ein Tray-Symbol, was dazu führt das der Rechner zugemüllt wird.

Die einzige langfristige Lösung ist ein zentrales Programm zum aktualisieren der Software.
Und das muss vom Betriebsystemhersteller, sprich Microsoft selbst kommen.
Sonst gibt es hinterher 100 verschiedene Aktualisierungsprogramme zu denen die Softwarehersteller kompatibel sein sollen.

Ich denke Microsoft sollte einfach eine Umgebung wie das Sicherheitscenter für die Aktualisierungen schaffen. Jede (vernünftige) Sicherheitssoftware bietet dem Sicherheitscenter eine Schnittstelle um sich z.B. aktualsieren zu lassen und und den Status der Aktualität zu liefern. Ähnlich sollte es auch bei Software-Updates sein.

[olli]

Moin zusammen!

Hier die aktuellen Ergebnisse aus der KW 1:

1. GData 99,9% +-0% Absolut: 556
2. Avira 99,1% +0,1% 3811
3. Symantec 98,6% -0,1% 5727
4. Kaspersky 98,1% -0,3% 7888
5. Panda 97,8% +0,3% 9211
6. McAfee 97,7% -0,2% 9402
7. Bullguard 97,3% -0,2% 11016
8. F-Secure 97,2% -0,1% 11713
9. Avira free 95,8% +0,4% 17402

Verbessern konnten sich Avira Premium und free und Panda. Panda und McAffe haben die Plätze getauscht.

Bis denne
Olli

[devaletin]

@olli

Danke für den Top - Service

[flexibel44]

Avira hatte doch vor ein paar Monaten immer 99,8%. Wie kommt es, dass die jetzt immer bei 99, bzw. 99,1% liegen?
Gab es nicht vor einiger Zeit mal eine neue Engine? Liegt es vielleicht daran?

[ube]

Avira hatte doch vor ein paar Monaten immer 99,8%. Wie kommt es, dass die jetzt immer bei 99, bzw. 99,1% liegen?
Gab es nicht vor einiger Zeit mal eine neue Engine? Liegt es vielleicht daran?

Oft kann man bei Testergebnissen fuer was auch immer nur raten, wie sie zustande kamen.

Computerbild Zahlen stammen vermutlich von av-test.de -> in einem Text von av-test.de wird Test von Sicherheitssoftware unter out of the box settings fuer am besten gehalten -> vermutlich testete av-test.de also unter out of the box settings -> Avira modifizierte im abgelaufenen Jahr offenbar AntiVir mit der Absicht, die false positives zu verringern (was nach meinem Eindruck sehr gut gelang, da ich unter best settings vergangenes Jahr lediglich einen erwaehnenswerten false positive verzeichnen konnte) -> die Modifikationen an AntiVir fuehrten nach meiner Beobachtung zur leichten Verringerung der Erkennungsleistung unter out of the box settings -> vermute, dass unter best settings Testergebnis besser gewesen waere

[rolarocka]

Neuer Test:
http://security.magnus.de/viren-trojaner/a...en-im-test.html

[Gast_tpro_*]

Der Angriff der Speicherfresser / Ruhewert 2009:

GData - 197,5 Mbyte
Panda Security - 207 Mbyte

Wieso ist der Panda eigentlich "dicker" als GData?

[devaletin]

der Panda hat zu viele Bambusstangen gespeist

[albatros]

Hier ein weiterer aktueller Test (PC-Welt, 20.01.2009):

http://www.pcwelt.de/start/sicherheit/anti...gramme_im_test/

[rolarocka]

Vielleicht sollten wir ein sticky machen für diese ganzen Tests.

[markus17]

Vielleicht sollten wir ein sticky machen für diese ganzen Tests.

Keine schlechte Idee.