500 Malwaresamples zum selbertesten Einstellungen

[Gast_Nightwatch_*]

Bei aktueller Malware (Januar Februar 2009) wirds dann aber weniger mit der Erkennung , 89,75 %.

Hi

Waren das Deine "eigenen" Samples, oder gibt es ein neues Set zum Download?

Gruß,
Nightwatch

[Voyager]

@Nightwatch

Das war dieses http://www.rokop-security.de/index.php?s=&...st&p=263992

[Gast_Nightwatch_*]

Oki. Danke!
Das hatte ich gar nicht mitbekommen. Wie schneidet denn Symantec ab?
Die 89,75% von GData scheinen nicht sonderlich berauschend. Müsste man natürlich prüfen, wieviele davon tatsächlich lauffähig sind etc. Außerdem ist bei der kleinen File-Anzahl natürlich auch ein großer Prozentanstieg-/abfall bei einem einzigen Sample recht hoch.

Gruß,
Nightwatch

[Voyager]

@Nightwatch

Wie schneidet denn Symantec ab?

Naja 69 % , waren aber immerhin knapp 10% mehr als beim Outpost AV. Kaspersky 2009 liegt etwas unter Gdata mit 85,9% (201 aus 234), siehe Bild . NIS konnte hier aus dem Rest weitere 10 erschlagen .



Der Beitrag wurde von Voyager bearbeitet: 24.02.2009, 00:27

[Gast_Nightwatch_*]

@Voyager
Danke
Da sieht man mal wieder, wieviel die 99% in manchen Tests so aussagen können. Hier scheint sich wirklich kein Scanner mit Ruhm zu bekleckern.

Gruß,
Nightwatch

[Voyager]

Antivir steht gut da mit 95,3% (223 aus 234) , aber weiss man auch nicht genau wieviele Samples aus genau dieser Verpackung dort schon eingesandt wurden obwohl ich nichts unterstellen will. Aus diesem 11er Rest konnten weitere 3 mit NIS erschlagen werden.



Anhand dessen sieht man zumindestens was Proaktivität und frühzeitige Erkennung von Risiken ausmacht , aktuelles Beispiel die Ausnutzung der PDF-Lücke.
69% Rattenerkennung hin oder her wenn schon alles zu spät ist , wenn man hier die Ratten im Anflug schon aufhalten kann bevor man sich mit den Dingern überhaupt abgeben muss.

Der Beitrag wurde von Voyager bearbeitet: 24.02.2009, 00:46

[Gast_Nightwatch_*]

69% Rattenerkennung hin oder her wenn schon alles zu spät ist , wenn man hier die Ratten im Anflug schon aufhalten kann bevor man sich mit den Dingern überhaupt abgeben muss.

Jepp. Das bringt´s wahrlich auf den Punkt. Erschreckend ist nur immer wieder, wie langsam hier von den betroffenen Unternehmen reagiert wird .Diese Exploit-Welle ist ja nicht die erste, die sich schön ausbreiten kann.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 24.02.2009, 01:13

[fenriz]

Fehlt hier nicht noch Panda IS 2009. Würde mich echt interessieren.
Oder hab ich das überlesen
..... gibts hier niemand der Panda verwendet ?
gruß feni

Der Beitrag wurde von fenriz bearbeitet: 01.03.2009, 03:19

[KingSun]

Da es ja nun schon fast 1 Monat her ist, das dieser Test hier gestartet ist, dachte ich mir gestern ich mache mal einen Scan mit der Eset Smart Security 4.
Tja, es blieben doch tatsächlich wie beim Thread Ersteller 27 Dateien übrig.


Somit habe ich die restlichen 27 Dateien gestern an Eset geschickt.

Heute kam die Antwort.

Thank you for your submission.
The detection for this threat will be included in our next signature update.

Few samples are infected, but most of them are corrupted or have remnants of virut/CIH viruses (code is not active or is truncated). Please delete submited files.

Regards,

Tomasz Smolarek
Virus Researcher
ESET spol. s r.o.

Na da bin ich ja mal gespannt.

[subset]

Few samples are infected, but most of them are corrupted or have remnants of virut/CIH viruses (code is not active or is truncated).

Ich habe KIS 2009 "out of the box" mit dem Rest getestet, den das AV nicht erkannte.
Nach mehrfachem Scannen (beim Entpacken, über das Kontextmenü) und dem Löschen der desinfizierten Dateien verblieben 36 Dateien im Ordner.



Davon ließen sich aber anschließend nur 23 überhaupt ausführen und 13 eben nicht.
Interessant ist die Zuordnung des HIPS von KIS im Automatikmodus von insgesamt 27 ausgeführten Dateien (also incl. erzeugter exe Dateien).
3 - Vertrauenswürdig
16 - Schwache Beschränkungen
1 - Starke Beschränkungen
7 - Nicht vertrauenswürdig



MfG

Der Beitrag wurde von subset bearbeitet: 03.03.2009, 15:26

[Julian]

16 - Schwache Beschränkungen

Leider geht aus seinem Posting nicht hervor, ob oder bei wie vielen er gefragt wurde, in welche Gruppe sie sollen. Tja, ich kann ihn nicht fragen, bin ja ignoriert.

Die, die in nicht vertrauenswürdig gelandet sind, sind mit ziemlicher Wahrscheinlichkeit funktionsfähig.

Edit: Rechtschreibung angepasst

Der Beitrag wurde von Julian bearbeitet: 03.03.2009, 16:05

[dataandi]

Leider geht aus seinem Posting nicht hervor, ob oder bei wie vielen er gefragt wurde, in welche Gruppe sie sollen. Tja, ich kann ihn nicht fragen, bin ja ignoriert.

Die, die in nicht vertrauenswürdig gelandet sind, sind mit ziehmlicher Wahrscheinlichkeit funktionsfähig.

dann schiebe ich mal deine Frage weiter....

[rolarocka]

Da es ja nun schon fast 1 Monat her ist, das dieser Test hier gestartet ist, dachte ich mir gestern ich mache mal einen Scan mit der Eset Smart Security 4.
Tja, es blieben doch tatsächlich wie beim Thread Ersteller 27 Dateien übrig.


Somit habe ich die restlichen 27 Dateien gestern an Eset geschickt.

Heute kam die Antwort.



Na da bin ich ja mal gespannt.

Bei mir werden 36 Dateien nicht erkannt mit Nod4 (gleiches Ergebniss wie Kaspersky)

Der Beitrag wurde von rolarocka bearbeitet: 03.03.2009, 16:04

[Julian]

Bei mir werden 36 Dateien nicht erkannt mit Nod4 (gleiches Ergebniss wie Kaspersky)

Starte sie doch mal und guck was dann passiert.

[rolarocka]

Mach ich mal wird nur etwas dauern.

[rolarocka]

Ok es bleiben 28 übrig:

Der Beitrag wurde von rolarocka bearbeitet: 04.03.2009, 02:26

[Julian]

Danke
Also erkennt auch NOD32 On Execution einiges mehr.

[rolarocka]

Ich schnall nur nicht warum am 03.02 27 Dateien übrig bleiben, heute on demand 36 Dateien übrig bleiben, nach ausführen dann doch wieder 28 Dateien. Am 03.02 waren also ne ganze Menge FP´s dabei oder wie kann man das intepretieren?

[subset]

dann schiebe ich mal deine Frage weiter....

Ich bin einfach den Empfehlungen von KIS gefolgt, also dem Fettgedruckten in den Popups.
Standardeinstellungen, Automatikmodus, Standardantworten.
Der Test ist einfach aufgebaut und genauso einfach für jeden zu wiederholen, der das Ergebnis überprüfen will.
Bei mir tat sich KIS mit den eigenen Einstufungen ca. nach dem ersten Drittel des Tests sichtlich schwer.
Mehrere Hänger und Dialogfenster, die plötzlich verschwanden, weil KIS auf einmal scheinbar doch automatisch entschied, waren die Folge.

MfG

[Julian]

Ich bin einfach den Empfehlungen von KIS gefolgt, also dem Fettgedruckten in den Popups.
Standardeinstellungen, Automatikmodus, Standardantworten.

Ok. Weißt du, ob darunter Programme waren, die direkt schädliche Aktionen ausgeführt haben? Bei mir hat kein Programm, was ohne Nachfrage in der schwach beschränkten Gruppe gelandet war, ohne weitere Userinteraktion schädliches Verhalten an den Tag gelegt.

Bei mir tat sich KIS mit den eigenen Einstufungen ca. nach dem ersten Drittel des Tests sichtlich schwer.
Mehrere Hänger und Dialogfenster, die plötzlich verschwanden, weil KIS auf einmal scheinbar doch automatisch entschied, waren die Folge.

Kann ich nicht bestätigen. Ich hatte allerdings jedes Sample beendet, bevor ich zum nächsten überging.

Der Beitrag wurde von Julian bearbeitet: 03.03.2009, 18:57