DFK Threat Simulator, Malware Testprogramm, Mit Vorsicht zu handhaben! Einstellungen

[subset]

Hi

Auf der Suche nach Trojaner Testprogrammen habe ich den DFK Threat Simulator version 2 gefunden.
Das Tool ist scheinbar seriös und wurde auf Wilders Security schon vor einem Jahr mehrfach diskutiert.
Unter anderem hier: http://www.wilderssecurity.com/showthread.php?t=103492

Von der Webseite:
"Security is only as good as the measure of stress you apply to it.
To this end the "DFK Threat Simulator" was created.
Bundling a de-clawed collection of dropper, rootkit, exploit, virus, trojan, spyware, keylogger, leaktest, process termination, action automation, and alternate data stream technology, the updated version 2 of the DFK Threat Simulator is a serious representation of the modern dangers facing computer users today.
http://www.morgud.com/interests/security/d...imulator-v2.asp

Na, das klingt doch nett. Schönes Programm zum Testen.
Wer es auch verwenden will, macht am besten vorher eine Komplettsicherung mit einem Festplatten-Image Programm, nur für alle Fälle.

Nun musste mein derzeitiges Security Setup zum Elch-Test.

Kaspersky Anti-Virus
Der Echtzeitschutz erkannte schon beim Entpacken der dfk-threat-simulator-v2.zip die Gefahr:
Achtung: Trojanisches Programm Trojan-Dropper.Win32.VB.sa in Datei iPod-commercial.exe
Erste Hürde gemeistert, also Echtzeitschutz angehalten und den DFK Threat Simulator gestartet.
Um es kurz zu machen: KAV wurde durch den Test weder beendet noch wurden Programmdateien komprimitiert.
Wo geht's hier zum Kaspersky Fan Club?

a-squared Anti-Malware
Es reagierte weder der Wächter beim Entpacken der dfk-threat-simulator-v2.zip, noch der Scanner beim Überprüfen der entpackten Dateien.
DFK Threat Simulator gestartet und a-squared Anti-Malware war einmal.
Das Programm wurde beendet und Programmdateien durch Trojaner komprimitiert.
KAV fand folgendes:
trojanisches Programm Trojan.Win32.VB.bgm Datei: C:\Programme\a-squared Anti-Malware\a2start.exe//PE_Patch//UPX
trojanisches Programm Trojan.Win32.VB.bgm Datei: C:\Programme\a-squared Anti-Malware\a2scan.exe//PE_Patch//UPX
Das Programm war nur noch ein potemkinsches Dorf.
Schlechter geht's nicht, nix erkannt, kein ausreichender Selbstschutz und durch Trojaner komprimitiert.

Sygate PF Free
Die wurde zwar vom DFK Threat Simulator beendet, war aber nach einem Neustart wieder voll funktionsfähig und die Programmdateien konnten nicht komprimitiert werden.
Das geht auch besser.

Meine Fragen nun:
Hat mit dem DFK Threat Simulator schon jemand Erfahrung?
Wenn ja, welche Programme überstehen diese Tortur ähnlich gut wie KAV?

MfG

Der Beitrag wurde von subset bearbeitet: 19.12.2007, 03:16

[Voyager]

Probiersmal mit anderen AV Programmen .

[Gast_blueX_*]

Ich verstehe nicht so recht. Versteckt sich jetzt hinter diesem vermeindlichen Malware-Testprogramm selbst ein Trojaner?
Warum frägt subset dann nach den Erfahrungen mit dem Programm?

[Voyager]

sieht nicht Gesund aus.

Datei dfk-threat-simulator-v2.zip empfangen 2007.12.18 20:45:01 (CET)
AntiVir 7.6.0.45 2007.12.18 TR/Crypt.ULPM.Gen
Avast 4.7.1098.0 2007.12.17 Win32:VB-CZS
AVG 7.5.0.503 2007.12.17 Dropper.VB.BL
BitDefender 7.2 2007.12.18 Generic.Malware.P!Pk!.02F035AE
CAT-QuickHeal 9.00 2007.12.18 Win32.Backdoor.VB.oy
eSafe 7.0.15.0 2007.12.18 suspicious Trojan/Worm
Ewido 4.0 2007.12.18 Trojan.Small
Fortinet 3.14.0.0 2007.12.18 W32/VB.SA!tr
F-Secure 6.70.13030.0 2007.12.18 Trojan-Dropper.Win32.VB.sa
Ikarus T3.1.1.15 2007.12.18 Virus.Win32.VB.CZS
Kaspersky 7.0.0.125 2007.12.18 Trojan-Dropper.Win32.VB.sa
NOD32v2 2731 2007.12.18 probably unknown NewHeur_PE virus
Panda 9.0.0.4 2007.12.18 Trj/Downloader.MDW
Prevx1 V2 2007.12.18 Heuristic: Suspicious Code
Rising 20.23.12.00 2007.12.18 Dropper.Win32.VB.sa
Sunbelt 2.2.907.0 2007.12.18 Trojan.Small.gen
TheHacker 6.2.9.163 2007.12.18 Trojan/Dropper.VB.sa
VBA32 3.12.2.5 2007.12.18 Trojan-Dropper.Win32.VB.sa
Webwasher-Gateway 6.6.2 2007.12.18 Win32.Malware.gen (suspicious)

[Gast_Nightwatch_*]

Hallo.

Würde es sehr gern testen mit FSAV 2008.....traue mich aber irgendwie nicht richtig ran an das Teil. Da es sich anscheinend hier um ein aktives, gefährliches Testset handelt, habe ich weder Lust noch Zeit die nächsten Tage an meinem PC zu verbringen.

[Julian]

Ist keine Malware, simuliert diese nur soweit, dass die sicherheitsoftware abgeschaltet werden soll.
Theoretisch harmlos, aber dennoch mit Vorsicht zu genießen.

[Gast_Scrapie_*]

Hi

Man definiere die Grenze zw. "Testmalware" und "Echter"?
Vor allem wenn die Testmalware anscheinend ja tatsächlich Schutzsoftware aushebelt und nachhaltig die Installation kompromitiert.
"de-clawed" sieht für mich anders aus ...


Gruß,
Scrapie

[Julian]

Hi

Man definiere die Grenze zw. "Testmalware" und "Echter"?
Vor allem wenn die Testmalware anscheinend ja tatsächlich Schutzsoftware aushebelt und nachhaltig die Installation kompromitiert.
"de-clawed" sieht für mich anders aus ...


Gruß,
Scrapie

Bis auf die eventuell zerschossenen Schutzprogramme richtet das Teil eigentlich keinen Schaden an, mit dem Removal-Tool ist das wiederrunterkriegen auch kein Problem.
Notfalls greift man eben auf ein Iamge zurück

[subset]

sieht nicht Gesund aus.
Probiersmal mit anderen AV Programmen

Ist auch nicht gesund, deswegen die Warnung schon im Thema-Titel.
Aber wenn ich wissen will, was meine "Sicherheits" Software wirklich wert ist, muss ich halt einen möglichst realitätsnahen Angriff simulieren und nicht nur den Eicar Test Virus scannen.
Den Test muss ja keiner machen, der damit überfordert ist.

DFK Threat Simulator version 2 ist auch auf der Lists of freeware security services von den CastleCops.
http://wiki.castlecops.com/Lists_of_freewa...curity_services

Zu den anderen AVs:
Ich habe leider nur diesen älteren Test gefunden: Trojan Faceoff 2006
http://www.morgud.com/interests/security/faceoff-2006.asp

Bei dem wurden folgende Programme beendet:
AntiVir PersonalEdition Premium 7 (Avira)
a-squared Anti-Malware Personal Edition 1.6.5 (Emsisoft)
Avast! 4 Professional Edition 4.6 (ALWIL)
AVG Plus Firewall 7.1.375 (GriSoft)
BitDefender 9 Internet Security (SOFTWIN)
BOClean 4.21.001 (PSC)
ClamWin Free Antivirus 0.88
Ewido Anti-Malware 3.5
F-Secure Internet Security 2006 (6.12-90)
McAfee VirusScan Enterprise 8.0i
Panda Titanium Antivirus 2006 + Antispyware
PC-cillin Internet Security 2006 (Trend Micro)
Sophos Anti-Virus 4.02
Tauscan 1.7 (Agnitum)
The Cleaner Professional 4.1 (Moosoft)
TrojanHunter 4.5 (Mischel Internet Security)
Trustix AntiVirus 2005

Diese haben den Angriff überstanden:
AntiVirusKit 2006 (G DATA)
Dr.Web Anti-Virus 4.33
eTrust Internet Security Suite 2006 R2 (CA)
F-Prot Antivirus 3.16f (FRISK)
Kaspersky Internet Security 2006
NOD32 for Windows 2.5 (Eset)
Norton Internet Security 2006 (Symantec)
ZoneAlarm Internet Security Suite 6.1.737

Das sind natürlich großteils ältere Versionen, ich bin aber an aktuellen Ergebnissen interessiert.
Deshalb die Frage nach Erfahrungen.

Versteckt sich jetzt hinter diesem vermeindlichen Malware-Testprogramm selbst ein Trojaner?

Äh, nicht nur. Auch Dropper, Rootkit, Exploits , Virus, Spyware, Keylogger und son Zeug
ABER es ist auch ein UNINSTALLER mit dabei, was ja bei echten Schadprogrammen selten der Fall ist...

MfG

[Gast_Scrapie_*]

Und läuft nach dem Uninstall alle Software sicher wieder ...... ?

[Voyager]

Naja wenn die Produkte der namenhaften Hersteller so´n Manipulationsangriff überstehen dann ist das Thema nicht weiter interesannt , das klingt mir eher nach einem simplen Selbstschutz Test mittels Advanced Process Termination (APT) .

Der Beitrag wurde von bond7 bearbeitet: 18.12.2007, 21:51

[Gast_Nightwatch_*]

Naja wenn die Produkte der namenhaften Hersteller so´n Manipulationsangriff überstehen dann ist das Thema nicht weiter interesannt , das klingt mir eher nach einem simplen Selbstschutz Test.

Stimmt. Und wer permanent mit eingeschränkten Benutzerrechten untewegs ist, hat ebenfalls mit keinem AV-Programm hier Probleme.

Aber interessant wären andere Ergebnisse irgendwie trotzdem...das ist der Spieltrieb

[subset]

Scrapie schrieb
Und läuft nach dem Uninstall alle Software sicher wieder ...... ?

Der Uninstaller hat bei mir sehr gut funktioniert.
Trotzdem möchte ich nochmal raten ein Image zu erstellen, auf das man im Notfall zurückgreifen kann.

Ich habe nach dem Test mit folgenden Programmen gescannt:
KAV
AVG Anti-Spyware (findet auch den Trojaner in der iPod-commercial.exe -> Trojan.Small)
SUPERAntiSpyware (findet nichts in der iPod-commercial.exe)
RootkitRevealer
F-Secure BlackLight
GMER (wer blickt da schon ganz durch?)

Anscheinend alles sauber.
Solange alles im passwortgeschützten Archiv dfk-threat-simulator-v2.zip ist, finden die alle nichts.

HijackThis Logfile Auswertung auch ohne Probleme.

Auf die weitere Zusammenarbeit mit a-squared Anti-Malware werde ich bis auf weiteres verzichten

MfG

[Gast_Nightwatch_*]

Auf die weitere Zusammenarbeit mit a-squared Anti-Malware werde ich bis auf weiteres verzichten

Kann Deinen Unmut sehr gut nachvollziehen. Dennoch denke ich, dass man jedes Programm zum Absturz bringen kann, wenn man es nur will. Bei einem geht´s leichter, beim anderen schwieriger. Deswegen schwöre ich eher (s.o.) auf eingeschränkte Rechte.

[subset]

Kann Deinen Unmut sehr gut nachvollziehen. Dennoch denke ich, dass man jedes Programm zum Absturz bringen kann, wenn man es nur will.

Wenn es nur der Absturz gewesen wäre, aber das weder Wächter noch Scanner zu irgendeinem Zeitpunkt auf die Bedrohung reagiert haben, ist eigentlich ein Witz.
Da läd man jeden Tag Signaturdateien runter, erkennt 648743 Trojaner bla bla, ne Danke.
Ich bevorzuge Programme, die tatsächlich die Sicherheit erhöhen und nicht nur für den Anwender eine Scheinsicherheit simulieren.

MfG

[Tuborg.Beer]

Habe das Teil mal heruntergeladen danach extrahiert und bin auf Öffnen gegangen aber Live OneCare Offnet das Teil nicht arbeite mit Vista als Admin
ich bekomme aber keine Meldung aber die Datei wird nicht Geöffnet .
Weis nicht was ich davon halten soll

[Gast_Nightwatch_*]

Solange alles im passwortgeschützten Archiv dfk-threat-simulator-v2.zip ist, finden die alle nichts.

Habe das hier mal ausprobiert. FSAV 2008 meckert sofort beim Download-Versuch...trotz des passwortgeschützten Archivs.

Traue mich aber nicht doppelzuklicken

Der Beitrag wurde von Nightwatch bearbeitet: 18.12.2007, 22:31

[Voyager]

Ich hab das Teil submitted , bin ich jetzt der böse Bube ?

[Gast_Nightwatch_*]

Ich hab das Teil submitted , bin ich jetzt der böse Bube ?

...war das überhaupt notwendig? Wenn ich mir Deine Jotti-Ergebnisse so anschaue.....

....oder hat etwa Norton geschlampt, Bond ?

Der Beitrag wurde von Nightwatch bearbeitet: 18.12.2007, 22:48

[Denny]

Kaspersky Anti-Virus
Der Echtzeitschutz erkannte schon beim Entpacken der dfk-threat-simulator-v2.zip die Gefahr

Steht bei mir auf der Sicherheitsstufe "empfohlen" meldet sich nur bei einem manuellen Scan vom Ordner oder kurz vor der Angst wenn man die Datei starten will...