Schädlingserkennung im Dauertest, Alle 2 Wochen neu von CB Einstellungen

[albatros]

Gute Frage! Ich stelle mir das so vor, daß vor dem angeschobenen Systemscan das Programm Rückfrage zum Heimserver hält und dort nach aktuellen Signaturen/Erkennungsmuster sucht und diese ggf. in die anstehende Suche miteinbezieht. So ähnlich funktioniert es bei Panda, dort wird, nachdem der Scan angestoßen wird, der Server kontaktiert. Wenn das offline geschieht, wird der Nutzer darüber informiert, daß der Scan dadurch eingeschränkt sei. Was allerdings vom Server abgefragt wird oder ob die Signaturen von diesem Server geladen werden, weiß ich nicht. Auch nicht, ob die Verbindung während des kompletten Scans stehen muß, damit das Programm beste Noten einfährt...

Vorteile: Superschnelle und aktuellste Signaturen

Nachteile: Offline sehr eingeschränkte Suche; Datenübertragung, was wird gesendet/empfangen?

Der Beitrag wurde von albatros bearbeitet: 03.01.2009, 17:59

[blubber]

zwischenfrage für die normaluser: was stellt ihr euch unter in-the-cloud vor? habt ihr eine vorstellung wie in-the-cloud bei AV's meistens funktioniert bzw. warum es dadurch mehr erkennen soll usw. (im gegensatz zu bisheriger erkennung mit lokalen signaturen)? worin seht ihr die vor- und nachteile?

Ehrlich gesagt, ich hab nicht viel Ahnung davon, vor allem weiß ich nicht wie das funktioniert bzw. funktionieren soll. Aber scheinbar bringt es wohl nicht viel, bestes Beispiel ist hier McAfee.


Best Regards
Normalouser

[Solution-Design]

Versucht ein F-Secure-Kunde, verdächtige Programme zu starten, wird die Vertrauenswürdigkeit dieser Daten in Sekundenbruchteilen auf den F-Secure-Servern geprüft. In-the-Cloud-Verfahren blocken Bedrohungen noch schneller als zuvor und identifizieren schadhafte Software weitaus exakter. Die Entwicklung dieser Technologie startete 2001 mit der Gründung und Verwaltung der weltweiten Network Operation Center – der Grundstein für das Realtime Protection Network. http://www.f-secure.de/f-secure/pressroom/...021_25_deu.html

Ob das funktioniert? Vor allem besser als bisherige Verfahren?

[albatros]

Danke, Solution-Design, daß Du dies mal übersetzt hast.

Dieses Outsourcing soll unterstützend eingreifen. So zumindest verstehe ich den offen ausgefochtenen Kampf der Marketingschreier...

[Gast_Nightwatch_*]

Als Einstieg in das Thema habe ich damals diesen Text gewählt:
http://de.wikipedia.org/wiki/Cloud_Computing

Und das habe ich als eBook gekauft:
http://indie2zero.com/2008/03/07/cloud-com...the-big-switch/

EDIT: Das Thema ist leider viel komplexer, als es scheint. Deswegen fällt es mir schwer, dass in ein paar Sätze zu fassen.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 03.01.2009, 18:52

[citro]

Zwischendurch die neuen Ergebnisse bei 397624 Schädlingen:

1. GData 99,9 % / 0% (übersehene Malware 596)
2. Avira 99 % / 0% (3927)
3. Norton 98,7 % / +0,2% (5038)
4. KAV 98,4 % / +1,4% (6387)
5. McAfee 97,9% / +1,8% (8566)
6. Panda 97,5 % / -0,1% ( 9822)
7. Bullguard 97,5 % / +1,2% (9986)
8.F-Secure 97,3 % / 0 % (10700)
9 Avira free 95,4 % / -0,3% (18325)

Quelle CB 2/09

Der Beitrag wurde von citro bearbeitet: 03.01.2009, 19:47

[Rios]

Hallo Citro, auch wieder zurück aus dem Urlaub

[citro]

Hallo Citro, auch wieder zurück aus dem Urlaub

Nun ja, ist aber unschädlich

[albatros]

Hallo citro!

Mal eine Frage zu Norton: Hat Norton ein HTTP-Wächter an Bord? Ich frage deshalb, weil die gepackten Eicar-Dateien heruntergeladen und erst dann erkannt werden, wenn ich diese explizit entpacke und die Datei ausführe (WinXP SP3)....

Ein HTTP-Wächter sollte dies doch verhindern?

[citro]

@albatros

so viel ich weiß, nicht.

ps: Eicar ist auch kein echter Virus

[albatros]

Naja, trotzdem besten Dank.

[maxos]

Wie schreibt die aktuelle c't

" Einfache Tests von Antiviren-Software beschränken sich aufs Erbsen zählen: Man jagt die Scanner über einen möglichst großen Satz böser Dateien und schaut nach, welcher wie viele davon erkannt hat. Die guten finden fast alle, die schlechten weniger; der Unterschied spielt sich oft nur im Prozentbereich ab. Dabei wird kein einziger Schädling wirklich gestartet, kein Rootkit aktiviert, kein Web-Exploit tatsächlich im Browser geladen. Das ist dann zwar einfach umzusetzen, hat aber mit der Realität wenig zu tun. Denn die ist deutlich komplexer. "

Gefällt mir einfach die Aussage.

[IBK]

weiters schreibt die c't:
"Um derartige Funktionen zu testen, haben wir die Antiviren-Software in Zusammenarbeit mit AV-Test mit zehn aktiven Rootkits konfrontiert und zwanzig handverlesene Schädlinge, die zunächst nicht erkannt wurden, von Hand gestartet, um zu sehen, wie der Virenschutz reagiert."

"Selbstverständlich haben wir dafür auf das Erbsenzählen nicht verzichtet: An rund einer halben Million Schadprogrammen aus den letzten Monaten mussten die Scanner ihre Basisfertigkeiten beweisen."

1% nicht erkannt sind gleich zehntausende unerkannte, 4 von 20 handverlesene (20%) bleiben 4 von 20 (wie es im allgemeinen aussieht weiß man leider nicht, gibt aber trotzdem wichtige hinweise, auch wenn man nicht die erkennund tausender malwaresamples beim ausführen testen kann) - aufs erbsenzählen würd ich auch weiterhin nicht komplett verzichten (als user möcht ich außerdem dass es gar nicht erst dazu kommt dass ich die malware ausführen muss bis sie erkannt und hoffentlich komplett geblockt wird).

[maxos]

@IBK

Ich wollte fast schon oben fortsetzen mit den c't Aussagen, aber ich dachte mir mal warte ab, wer den Artikel noch eingehender liest.

Du warst dafür ein heisser Kandidat.

[subset]

Hi,

man fragt sich dann nur, wie viele User regelmäßig so einen On Demand Scan machen... 1% ? 0,1% ?
Diese On Demand Scans haben sicher für Virensammler einen gewissen Reiz - 5 Milliarden aktive Viren aus den letzten 14-Tagen mit 500 AVs scannen bla bla schnarch.
Für sinnlose Vergleichstests sind sie auch ganz gut geeignet - die Magie der nichtssagenden Zahlen wirkt (leider) noch immer.
Blöderweise weiß ich bei einem On Demand Testsieger leider gar nicht, ob erkannte Viren im Falle einer Ausführung ganz oder nur teilweise mein System kaputten.
Nur das mein AV "Hallo, da ist einer!" schreien kann, aber leider nicht, ob es den auch fangen kann.

Und zu was ich so einen On Demand Scan machen soll, wenn sowieso nur Programme aus meiner Whitelist starten dürfen, konnte mir auch noch keiner erklären.

MfG

[Voyager]

Dann mach halt garkeinen Scan und starte den Mist einfach , vll. gibt es ja dann einen Gott der dich vor den Schäden bewahrt den die Viren dann immernoch anrichten.

[IBK]

du musst nicht unbedingt on-demand scannen (sollte man aber trotzdem regelmäßig), was on-demand erkannt wird wird normalerweise auch on-access von deinem wächter erkannt. on-access ist nicht on-execution und schützt dich noch bevor etwas ausgeführt wird (und vieles wird dank scannern bei mailgateways - wo auch nix ausgeführt wird - rausgefiltert).

[subset]

Dann mach halt garkeinen Scan und starte den Mist einfach , vll. gibt es ja dann einen Gott der dich vor den Schäden bewahrt den die Viren dann immernoch anrichten.

Nicht ein Gott, viele Götter (bloß ein goldenes AV Kalb ist da keines dabei)... Online Armor, Sandboxie, Returnil, FD-ISR, ShadowProtect.

MfG

[Voyager]

Das Problem ist, all diese Sachen sind wenig massentauglich. Wir brauchen uns doch nur zu erinnern wie Microsoft Kritik hinnehmen und einstecken muss wenn es darum geht Restriktionen im Windows seit 2004 einzuführen . Der AV ist kein goldenes Ei , eine derartige Abschottung des Users vom System aber genausowenig , irgendwann will der User das absichtlich falsch beschriftete Programm ausführen und da hilft dann keines dieser Sachen die du ins Spiel bringst.

Der Beitrag wurde von bond7 bearbeitet: 03.01.2009, 23:52

[subset]

on-access ist nicht on-execution und schützt dich noch bevor etwas ausgeführt wird (und vieles wird dank scannern bei mailgateways - wo auch nix ausgeführt wird - rausgefiltert).

Na wenn sonst nichts da ist, dann ist On-Access wohl die bessere Lösung.
Online Armor mit der AV+ Version und a-squared Anti-Malware versuchen aber zu beweisen, dass mit einem IDS oder HIPS eine On-Execution Prüfung auch reicht.

... , irgendwann will der User das absichtlich falsch beschriftete Programm ausführen und da hilft dann keines dieser Sachen die du ins Spiel bringst.

Noch nie ein anderes Programm als Norton versucht? Bei Online Armor z.B. darf ein Programm (mit Erlaubnis) starten, das heißt aber noch lange nicht, dass es jede Aktion ausführen darf. Das ist seit neuestem bei Kaspersky auch der Fall...
Mit Sandboxie und Returnil ist noch nie etwas "daneben" gegangen, was bei FD-ISR ohnehin nur ganz schwer vorstellbar ist. Selbst wenn, würde ich einfach einen anderen Snapshot booten.
Und was soll mit einem Imageprogramm wie ShadowProtect ein "absichtlich falsch beschriftetes Programm" bewirken?
Da müsste schon die externe Festplatte mit den Sicherungen genau zeitgleich mit der internen FP eingehen.
Ich habe also keine Ahnung, was du eigentlich zum Ausdruck bringen wolltest.

MfG