0day Antivirus Erkennungsraten, von der Shadowserver Foundation Einstellungen

[subset]

Hi,

die Seite shadowserver.org bietet einiges an interessanten Informationen, so auch die 0day AV Tests.
Bei diesen werden die Scanner der verschiedenen Hersteller mit neuen Samples getestet.
Das sind aber nicht die herkömmlichen AV Versionen für die Endverbraucher, sondern (ähnlich wie bei Virustotal) meist Linux oder Serverversionen.

Die genaue Liste findet sich hier:
http://www.shadowserver.org/wiki/pmwiki.php?n=Stats.Viruses

Die wöchentliche, monatliche und jährliche Übersicht habe ich in einem Bild zusammengefasst.
Die Wiederholung der Tests findet immer nach einer gewissen Zeit statt, das sind die unteren Tabellen.

 0day.png ( 124.13KB ) Anzahl der Downloads: 93


Die Testergebnisse sind mit den herkömmlichen On-demand (Werbe-)Tests sicher nicht zu vergleichen.

Eher mit der Situation als das Multi-Admin-Tool am 11.04.2008 um 00:21 h hier auftauchte und dem ersten Test auf Virustotal um 1:24 h von dragonmale:
http://www.virustotal.com/de/analisis/fa52...22dbfca303e718c

MfG

[olli]

Ist schon erstaunlich, wie Avira in allen Bereichen ganz vorne mitspielt. Hut ab.

Bis denne
Olli

[Solution-Design]

Die Testergebnisse sind mit den herkömmlichen On-demand (Werbe-)Tests sicher nicht zu vergleichen.

Frage: Was soll diese Bemerkung (in Fettdruck) bzw. was ist deine Intention?

Ist schon erstaunlich, wie Avira in allen Bereichen ganz vorne mitspielt. Hut ab.

Norman und DrWEB liegen auch weit vorne, schneiden aber bei den üblichen Testverfahren dennoch unter ferner liefen ab. McAfee scheint der Totalversager zu sein, obwohl selbst die Threatfire-Jungs dem eine gute Schutzwirkung bescheinigen. http://www.threatfire.com/de/

Natürlich ist es beruhigend, eine Software zu benutzen, bei welcher man weiß, dass das dahinter stehende Team seine Hausaufgaben möglichst schnell erledigt. Allerdings sollte die Qualität der Software auch hoch gehalten werden. Was nutzen neue Signaturen, wenn sie einen dieser 0days erkennen, gleichzeitig aber FPs auslösen. Ich denke, man muss immer mehrere Seiten betrachten. Insgesamt ist diese Statistik aber interessant.

Der Beitrag wurde von Solution-Design bearbeitet: 14.07.2008, 21:14

[olli]

Moin zusammen!

Wahrscheinlich spielt subset auf die seiner Meinung nach von den den Herstellern beeinflussten Test ab, die in den Zeitschriften veröffentlicht werden. Wobei ich eigentlich nicht glaube, dass das wirklich eine Rolle spielt. Vielfach ist doch AV-Test.org der Lieferant für die Testergebnisse und ich glaube nicht, dass Herr Marx seinen guten Ruf verspielen will. Obwohl... die meisten Anzeigen schaltet eindeutig Symantec und Kaspersky...hmmm, liegen die nicht öfter besonders weit vorne...?!?

Bis denne
Olli

[ube]

Bei Shadowserver macht mich dies nachdenklich:

http://www.shadowserver.org/wiki/pmwiki.php?n=Stats.Viruses

Und noch was zum spekulieren:

http://mtc.sri.com/live_data/av_rankings

[Solution-Design]

Des Deutschen liebstes Kind sind und werden es wohl immer bleiben: Verschwörungstheorien. Selbst die Computerbild wird einen Teufel tun und sich von Anzeigenschaltungen beeinflussen zu lassen. Symantec, wo wir gerade bei Namen sind, hat allzu oft schon sehr schlecht abgeschnitten, obwohl einige Seiten weiter die Suite zum Verkauf angeboten wurde. Auch das Kaspersky in letzter Zeit von der CB so über den Klee gelobt wird, halte ich nicht für verwerflich. Es mag sein, dass auch diese Autoren ihren ganz speziellen Liebling vorzuweisen haben, aber um bei der CB zu bleiben… Es wird recht deutlich, wie getestet wurde, wenn man (der Nutzer) sich die zum Test zugehörigen Tabellen anschaut. Dann kann er immer noch entscheiden, ob es der schnellste, der gründlichste, der am einfach zu handhabende oder was auch immer Scanner sein soll. Von daher halte ich die Bemerkung für unangebracht, auch wenn ich die Vorstellung der 0days löblich finde.

/OT

[olli]

Ich stimme Solution-Design übrigens voll zu! Bei meinem letzen Satz hätte ich vielleicht den Hinweis "Achtung:Ironie" beifügen sollen.

Bis denne
Olli

[Voyager]

@ube

Von der Seite http://mtc.sri.com/live_data/av_rankings/ halte ich aus einem ganz bestimmten Grund wenig, in jedem Test ob bei Virustotal oder von bekannten Leuten schneidet ClamAV immer irgendwo als letzter ab und hier ist er 8 Plätze vor Symantec ? Hier ist ausserdem noch Ikarus und Norman in der Top Ten vertreten ? Naja ich denke eher das geht dort auch nur nach Geschmack oder die testen einfach so lange rum bis es passend zu sein scheint.

Der Beitrag wurde von bond7 bearbeitet: 14.07.2008, 22:18

[Gast_Scrapie_*]

Hi

Vielleicht liegt es daran, dass es Linux- und Serverversionen sind?
K.A. in wie weit sich die versch. Produkte (Server, Home, Suite, Windows, Linux, ...) der unterschiedlichen Anbieter in der Erkennung unterscheiden. Könnte mir aber vorstellen, das HIPS nicht unbedingt auf einem Linux-Fileserver gebraucht wird und daher dort fehlt.


Scrapie

[ube]

@bond7

Mit dem passenden Testset ist vermutlich jedes Anti Malware Programm irgendwann Testsieger.

Die perfekte Anti Malware Loesung fuer jeden User gibt es nicht und wird es wohl nie geben.

Fuer Anwender, die sich nicht mit IT Interna auseinandersetzen wollen oder koennen, scheinen momentan Symantec Loesungen am ausgewogendsten und damit erste Wahl zu sein.

KIS 8 koennte in 1/4 oder 1 Jahr moeglicherweise eine ausgewogene Loesung fuer Endkunden darstellen. Nachdenklich stimmt jedoch, dass EP_Xoff, einer der Autoren von RootkitUnhooker, der wie Mark Russinovich mittlerweile fuer Microsoft arbietet, nichts von HIPSen haelt.

Ikarus scheint von der Erkennungsleistung nicht schlecht zu sein. a-squared 4 beta erkannte von meinen jungen Mailboxfundstuecken on demand etwa so viel wie Kaspersky/AntiVir. Bei Gelegenheit sehe ich mir Ikarus naeher an. Uebrigens reagierte der Ikarus Support dieses Wochendende sehr schnell auf meine false positive Meldung. Bin auf Erfahrungen mit a-squared mit Ikarus Engine im Alltag gespannt.

Clam Win sah ich mir zuletzt im Fruehjahr an, Erkennungsleistung sehr, sehr bescheiden. Vermutlich finden bei den Online Scannern aggressive und bei Clam Win nicht moegliche Einstellungen Anwendung. Als Desktop Schutz fuer Endanwender nahezu unbrauchbar, da aber Clam Win GPL ist, ist in manchen Kreisen Kritik an Clam Win offenbar unerwuenscht.

[subset]

Frage: Was soll diese Bemerkung (in Fettdruck) bzw. was ist deine Intention?

Da ist ein Boot, drin sitzt der sehr vornehm gekleidete Herr Antivirus Hersteller und die sehr spärlich bekleidete Frau Antivirus Tester.
So ungefähr meine ich das.
Statt einem Boot könnte man auch ein Bett nehmen, nur dann würden sie liegen statt sitzen.

MfG

[markus17]

Ich finde es aber auch interessant, was Avast in der Kaufversion leistet. Die Bezahlversion bietet ja schnellere Updates.

[rolarocka]

Auf av-comparatives wurde Ikarus doch getestet. 97,3 % hat es erreicht.

[markus17]

Das Testset war allerdings genau das selbe, vom vorherigen Test, also schon ein paar Monate alt. Trotzdem keine all zu schlechte Erkennungsrate.

[olli]

Hmm, wieso finde ich Avira jetzt nicht mehr in den Listen..?

Bis denne
Olli

[subset]

Hi,

ist mir auch schon aufgefallen, einfach verschwunden aus allen Stats
Die Seite wird einmal am Tag erneuert, vielleicht ist Avira morgen wieder da.

MfG

[ube]

Seit ich shadowserver.org sporadisch verfolge, fehlten nach meiner Erinnerung mehrmals Daten fuer einzelne Programme fuer kurze Zeit.

[ube]

Stichwort Avira:

Shadowserver wechselt zu AntiVir Professional.

AntiVir seit heute wieder in der Auswertung aufgefuehrt, jedoch noch ohne Daten.

[ube]

AntiVir ist seit heute wieder mit Ergebnis in der shadowserver.org Auswertung enthalten.

Der Beitrag wurde von ube bearbeitet: 20.07.2008, 15:07