500 Malwaresamples zum selbertesten Einstellungen

[schopili]

Hi,
ich habe eben selber einmal diesen Ordner von kIS scannen lassen, allerdings im interaktiven Modus. 26 Dateien werden vom AV nicht erkannt und 3 von Ihnen werden automatisch in die Vertrauenswürdige Zone gesetzt und könnten damit tun und lassen was sie möchten.

Im Automatikmodus bleibe nvom AV sogar 41 unbemerkt. Warum das so ein Unterschied ist erklärt sich mir zwar nicht aber hier ist es so^^ Wobei es sein kann dass KIS manche Sachen im Automodus einfach blockiert.

Beim 2ten Scannen mit KIS wurde KIS beendet und konnte erst nach Neustart wieder starten.

A Squared Free findet alles bis auf 6 Dateien. Siehe Anhang.

Diese 6 Dateien werden z.B über Virus Total alle von Antivir bemängelt. Die Interpretation überlasse ich euch :-)

Der Beitrag wurde von schopili bearbeitet: 03.03.2009, 20:16

Angehängte Datei(en)

 1.jpg ( 82.57KB ) Anzahl der Downloads: 7

 

[KingSun]

Bei mir werden 36 Dateien nicht erkannt mit Nod4 (gleiches Ergebniss wie Kaspersky)

Verflixt, da fällt mir ein, ich habe nicht out of the Box getestet. Ich habe sicherlich irgendwann mal die Einstellungen der Tiefenprüfung bei Eset verändert. Ich weiß garnicht mehr welche Einstellung das war, welche Standardmässig nicht eingestellt ist.





Mit den oben angezeigten Einstellungen, habe ich wie gesagt zum Schluß noch 27 Dateien im Ordner.

Die Test Dateien 52/95/101/105/390/410/413/419/422 die er bei Dir nicht gefunden hat, hat er durch die Einstellung bei mir gefunden.

Sorry, war bei mir halt nicht Out of the Box, das ist mir erst wieder eingefallen als ich am überlegen war, wieso er bei Dir mehr Dateien übersieht als bei mir.

[rolarocka]

Macht doch nix. Ich hab mit den gleichen Einstellungen gescannt, also alles angeklickt

[KingSun]

Macht doch nix. Ich hab mit den gleichen Einstellungen gescannt, also alles angeklickt

Und trotzdem waren bei Dir mehr Dateien nach dem Scannen im Ordner als bei mir?
Sehr seltsam.

[Gast_malangao_*]

Bitdefender TC 2009 Version 12.0.11.5 vom Anfang des Threades

96,4% - Ganze 18 Stück bleiben übrig !


Auch wenn es eine dumme Frage sein sollte: Aber wie sieht es denn derzeit um die Rechtslage aus, solche Samples zum Test zu nutzen ??


Anmerkung:

(Alles gelöscht, Keine Speicherung, Keine aktive Nutzung und keine Weiterverbreitung)

Der Beitrag wurde von malangao bearbeitet: 04.03.2009, 02:01

[Gast_Nightwatch_*]

Auch wenn es eine dumme Frage sein sollte: Aber wie sieht es denn derzeit um die Rechtslage aus, solche Samples zum Test zu nutzen ??

Hi
Für uns User sicherlich strafrechtlich irrelevant. Schließlich tun wir damit nichts anderes, als sie zu Testzwecken auf unserem eigenen System einzusetzen!

Gruß,
Nightwatch

[Gast_malangao_*]

@Nightwatch

DANKE

[subset]

Schließlich tun wir damit nichts anderes, als sie zu Testzwecken auf unserem eigenen System einzusetzen!

Man sollte meiner Meinung nach schon sehr darauf achten, dass man nicht selbst zur Infektionsquelle wird.
Also beim Testen am besten die Internet Verbindung trennen, oder anderweitig dafür sorgen, dass nichts nach Außen gelangen kann.
Denn solche Sachen wie das beim Testen von Schadprogrammen das Adressbuch ausgelesen wird und an alle Adressen Spam-Mails oder gar Viren verschickt werden, sowas sollte nicht vorkommen.

MfG

[Gast_Nightwatch_*]

Man sollte meiner Meinung nach schon sehr darauf achten, dass man nicht selbst zur Infektionsquelle wird.

Zu spät
http://www.rokop-security.de/index.php?s=&...st&p=265612

Der Beitrag wurde von Nightwatch bearbeitet: 04.03.2009, 11:34

[Gast_malangao_*]

Also bezogen auf die 500 Malwaresamples vom Anfang, scheint es folgende Ergebnisse in der Zusammenfassung zu geben ( mal schauen ob es mir gelingt )

@240670 mit ESET V4
94,6 %
@Nightwatch mit McAfee VirusScan Plus 2009 inkl. Artemis
92,8%
@240670 mit Kaspersky Internet Security 2009 (Einstellungen auf HOCH unter Vista 64)
91,6%
@peks mit ClamAV
76,2%
@peks mit ClamAV
78,4 % - aktuell seit heute
@xeon mit G-DATA 2009
99,4%
@ube mit Avira Premium (Höchste Einstellungen)
99,8 % und mit mittlerer Heuristik liegt es bei 99,4%

@ube mit A-Squard AntiMalware V4 (Höchste Einstellungen und inklusice Beta-Updates)
93 %
@ube mit Dr.Web V5 (Höchste Einstellungen)
87,2 %
@Voyager mit Norton 2009
92,6% oder theoretisch aus Post #61 = 95,8 %
@Nightwatch mit F-Secure Technology Preview 2009
92,4%
@??? VBA32
89,2%
@tpro mit AVG Free V8
94,2 %
@??? mit Windows Defender
39,2%
@??? mit Twister AntiVirus V7
99,4%
@Voyager mit Windows Live One Care
85,8 %
@Solution-Design mit Avast 4.8
93,8 %
@tpro mit Comodo Antivirus
61,4 %
@olli mit Bitdefender 2009
95,8%
@malangao mit Bitdefender TC 2009 (aktuell seit gestern)
96,4%

So..hoffentlich habe ich nichts vergessen oder verdreht

Es fehlen somit noch :
Panda 2009 - Das würde ich heute noch übernehmen
ZoneAlarm Internet Security 2009
Outpost Security Suite Pro 2009
AVG 8.5 oder AVG IS V8.5 - Vollversion(en)

Der Beitrag wurde von malangao bearbeitet: 04.03.2009, 18:11

[Gast_blueX_*]

Die Erkennungsraten dürften gestiegen sein.

[Gast_peks_*]

clamav ist nun bei 78,4%

[Gast_blueX_*]

Die Samples haben doch inzwischen sehr viele AV's erhalten.
Ich denke, dass inzwischen 100% von einigen AV's erreicht werden.

[Gast_malangao_*]

@blueX

Natürlich ! Nur die Ergebnisse sind denoch wichtig, denn zu diesem Zeitpunkt war die Erkennungsrate aufgrund von Signaturen + Heuristik(en) eben genau diese Prozente der Erkennung, die ich als User, zu dem Zeitpunkt als Schutz mit dem entsprechenden Schutz-Programm hatte. Wenn ich dem AV-Hersteller die Samples bekannt gebe, ist die 100% Erkennung keine große Kunst mehr. Bekannterweise kommen ja jeden Tag neue dazu, wie etwas solche Samples. Ich gehe sogar noch einen Schritt weiter und gehe auf deine berechtige Aussage ein. Ich würde fast wetten, das wenn wir den Test mit genau den Samples nochmal machen würden, die Hersteller wie Norton, ESET, F-Secure, KIS und auch Bitdefender keine 99%-100% Erkennung haben werden ( was nicht böse gemeint ist ).

Der Beitrag wurde von malangao bearbeitet: 04.03.2009, 18:51

[Voyager]

Die Samples haben doch inzwischen sehr viele AV's erhalten.
Ich denke, dass inzwischen 100% von einigen AV's erreicht werden.

Das bringt aber zukünftig nur wenig oder garnichts wenn diese AVs neue artverwandte und leicht abgewandelte Risiken trotzdem nicht erkennen können.

[schopili]

Hi,
was genau bewirken die 500 Samples denn an einem PC? Oder sind sie einfach nur eine ungefährliche Replika von Malware?

[ube]

Wiederholte eben den Pseudotest:

Avira AntiVir Premium best settings: 498 Samples geloescht, 2 Samples Verdacht in Quarantaene

a-squared Anti Malware 4 beta beta: 494 Samples Malware oder Verdacht - Samples 10, 66, 110, 359 433, 463 nicht beanstandet

Hinweis: Bereits am Abend des 03.02 nach Update wie seinerzeit gepostet 493 Samples Malware oder Verdacht - Samples 10, 66, 110, 359, 410, 433, 463 nicht beanstandet

Interessant waere zu wissen, wie hoch der Anteil unausfuehrbarer Samples an der Gesamtheit der Samples ist.

[schopili]

Interessant waere zu wissen, wie hoch der Anteil unausfuehrbarer Samples an der Gesamtheit der Samples ist.

Hi,
da wird es nur schwer eine einheitliche Aussage zu finden weil ja jeder seine Software bzw sein AV Produkt anders konfiguriert. Bei den jetzigen settings wie ich sie in KIS habe kann ich überhaupt garkeinen starten.
Gelöscht wurden allerdings 6 Stück ebenfalls nicht, sondern nur durch Settings deren Ausführung geblockt. Ohne Settings konnte ich glaub 2-3 problemlos starten da siue als Vertrauenswürdig eingestuft wurden.

[Gast_malangao_*]

Ich bin im Moment etwas "Sprachlos"

Ich habe mir die Testsample Datei gezogen und mit Panda 2009 Internet Security gescannt.

Ergebnis

380 Viren erkannt
055 Unbekannte Bedrohungen ( Hier ist die Heuristik angesprungen)
094 Spyware erkannt
529 Erkannte und geblockte Samples

Von dem Sample sind 36 übrig geblieben= Erkennung von 92,8% diese wurden nicht gelöscht - aber davon wurden direkt 35 als gefährlich eingestuft und geblockt (direkter Hinweis von Panda)

1 File ist übrig geblieben ! für das sich Panda nicht interessiert

Der Beitrag wurde von malangao bearbeitet: 04.03.2009, 20:24

[ube]

Erkennungsleistung soll bei Panda angeblich besser geworden sein. Andererseits geisterte dieses Paeckchen Malware bereits im Januar herum, Panda hatte somit mehr als genug Zeit zur Erfassung der Samples.