500 Malwaresamples zum selbertesten Einstellungen

[240670]

Also die 184er wurde bei mir gelöscht.
Nicht gelöscht wurden:
24, 26, 29, 66, 82, 103, 110, 226, 230, 231, 232, 243, 283, 285, 304, 340, 359, 361, 386, 393, 401, 403, 427, 429, 432, 463 plus noch einer den ich selber löschen mußte.

Der Beitrag wurde von 240670 bearbeitet: 13.04.2009, 17:25

[cruchot]

Outpost Security Suite Pro 2009 (v6.5.3), Signaturen vom 13.04.2009
Standardeinstellungen

41 Dateien bleiben übrig = 91,8%

[240670]

Habe auch den Test mit Avira V9 gemacht und es wurden wirklich alle Dateien gelöscht. Muß sagen das mich ESET Smart Security V4 doch enttäuscht hat.

[Solution-Design]

Sehr viele dieser Dateien waren schon vor einiger Zeit tot (z.B. vor Monaten schon bezüglich Downloader) oder erst gar nicht lauffähig. Mich überzeugt es gar nicht, wenn Avira diesen Müll seiner Datenbank hinzufügte.

angezeigt ,die 184.exe wobei bei der Datei 3 Bedrohungen angezeigt wurden und nur durch eine Extra einstellung gelöscht wurden ,Eset selber konnte die Bedrohung nicht löschen, ich Frage mich aber warum die Datei lässt sich doch durch einfaches löschen entfernen

Den selben Unsinn veranstaltete AVAST. Das zeugt nicht gerade von hoher Programmierkunst. Bei AVAST half nur noch die Reset-Taste...

Der Beitrag wurde von Solution-Design bearbeitet: 13.04.2009, 20:01

[Hybride]

@cruchot

Nur weil Datein im Ordner verbleiben heißt dies nicht, dass sie nicht erkannt wurden.
So sieht mein Log aus:

Malware scan completed, scanned: 587, malware/suspicious: 478/0, skipped: 0, cured/removed/quarantined: 0/0/0, failed: 0

Malware processing completed, malware/suspicious: 478/0, cured/removed/quarantined: 14/68/396, skipped: 0, added to ignore list: 0, failed: 0

Da ich davon ausgehe, dass pro Samplefile nur eine Malware gefunden wird, werden (plus 1 Malware beim 2. Scan) insgesamt 479 also 95,8% erkannt.
Bei mir verbleiben übrigens 49 Files im Ordner. Möglich wäre auch, ausgehend davon, dass 14 Files repariert wurden, dass somit nur 465 Files erkannt wurden ((49 Rest - 14 Reparierte) - 500) = 465 (und ja, ich unterschlage ein Vorzeichen) dies wären dann 93%.

Abweichungen zu dir sind durchaus möglich, da ich die letzte Beta verwende.

Interessant finde ich, dass 4 Files nicht entpackt werden können: 66, 280, 285, 359

Hybride

[cruchot]

@Hybride

Von welcher Software sprichst du?

[Voyager]

Wenn 49 Dateien übrig bleiben und darunter sind 14 Reparierte warum wird dann die prozentuale Erkennung von 95.8 auf 93 % schlechter ? Hat da der Taschenrechner oder der Rechenweg versagt ...

[Hybride]

@cruchot

Ich spreche von der Agnitum Outpost Security Suite 2009

@Voyager

...äh nein!
Folgendes waren meine Gedanken: Es gibt 2 Wege die Erkennung zu berechnen. 1. Man berechnet ganz stumpf was das Antivirenprogramm gefunden haben will. In diesem Fall halt 479 Datein macht 95,8% von 500. 2. Man geht über die Anzahl der verbleibenden Datein im Ordner. 49 verbleiben davon 14 repariert macht 35 nicht erkannt macht also 465 von 500 das macht dann 93%. Die Sache ist nämlich, dass Outpost mir das nach dem ersten Scan ausspuckt:

Malware scan completed, scanned: 587, malware/suspicious: 478/0, skipped: 0, cured/removed/quarantined: 0/0/0, failed: 0

Das Ding hat also mehr Datein gescant als Samples im Ordner sind. Daraus kann man sich die Frage stellen ob nicht in einem Sample mehrere Datein infiziert waren oder erkannt wurden (auch Malware-Autoren mögen es vielleicht "sicher" infiziert ). Die Zahlen kommen ja überhaupt nicht hin: 500 Samples, 587 Datein wurden gescant, davon aber 479 erkannt und es verbleiben 49 Datein im Ordner von denen 14 repariert wurden (hierbei könnten theoretisch ja auch 2 Datein in einem Sample repariert worden sein.
Du siehst da ist eine Menge denkbar. Im schlimmsten Fall sind alle gescanten 587 infiziert und davon wurden nur 479 erkannt, macht dann 81,43%.
Alles eine Frage der Referenz bei der Prozentrechnung. Was sind denn nun die 100% die 500 Samples oder die gescanten 587 Datein oder, oder, oder... .

Ehrlich gesagt weiß ich nicht ganz was ich davon halten soll. Wie sieht es denn bei euch aus? Was sagen eure Programme wieviel Datein gescant wurden?

Hybride

[Gast_Nightwatch_*]

Die Zahlen kommen ja überhaupt nicht hin: 500 Samples, 587 Datein wurden gescant, davon aber 479 erkannt und es verbleiben 49 Datein im Ordner von denen 14 repariert wurden (hierbei könnten theoretisch ja auch 2 Datein in einem Sample repariert worden sein.
Du siehst da ist eine Menge denkbar.

Hi
Die Anzahl der gescannten Dateien errechnet sich aus vielerlei verschiedenen Faktoren und kann dementsprechend leider nicht "korrekt" verarbeitet werden. Daher gibt es bei einer solchen Sample-Menge nur die Möglichkeit, die im Ordner übrig bleibenden (oder reparierten/umbenannten) Dateien zu zählen und dann in Prozentwerte umzuwandeln.
Wie in diesem Thread aber auch schon deutlich wurde, sind einige Dateien wohl nicht lauffähig, so dass sich hier mittlerweile (und in Anbetracht der ganzen Zeit für nachträgliche Einpflegungen) keine "richtigen" Aussagen mehr treffen lassen.

EDIT: Rechtschreibung

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 14.04.2009, 16:22

[Voyager]

Das Ding hat also mehr Datein gescant als Samples im Ordner sind.

Das ist nichts neues , manche AV-Scanner können die eine oder andere Datei noch weiter entpacken um diese zu scannen oder manche AV-Scanner zählen einfach alle gescannten Dateien und eben auch die extrahierten mit. Eine MSI oder ein Setup bestehen zb. auch aus mehrreren Dateien wenn man diese mit 7zip öffnet.

Scanstatistik:
Scanzeit: 0 Sek.
Scanoptionen:
Scanziele: C:\Downloads\0\IE Adblock Installer.msi
Zähler:
Gescannte Elemente insgesamt: 46
– Dateien und Laufwerke: 46
– Registrierungseinträge: 0
– Prozesse und Elemente beim Start: 0
– Netzwerk und Browser-Elemente: 0
– Sonstiges: 0
– Vertrauenswürdige Dateien: 0
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 0
Behobene Elemente insgesamt: 0
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
Es wurden keine Risiken behoben.

Nicht behobene Bedrohungen:
Keine nicht behobenen Risiken

Der Beitrag wurde von Voyager bearbeitet: 14.04.2009, 16:28

[Solution-Design]

Ich habe diesbezüglich ja schon ein Beispiel in diesem Thread gegeben: Man ändert mittels Total-/SpeedCommander das Datum "geändert/erstellt am" der Samples auf ein klares früheres Datum und lässt dann den Scanner drüber laufen. Dateien, welche übrig bleiben, aber das aktuelle Änderungsdatum vorweisen, gelten wohl als repariert. Alles andere ist Rätselraten.

[Jav.SEC.21]

G DATA 2010 erkennt 498 von 500 (99,6%) Schädlingen. Kein schlechtes Ergebnis.


Der Beitrag wurde von Jav.SEC.21 bearbeitet: 15.04.2009, 13:04

[Kenshiro]

Erkannte:

Ashampoo AS [a²-Klone] = 412 ~82,4%
MAB = 32 ~6,40%
SAS = 57 ~11,4%
Dr Web CureIt [vom 15.04.09] = 465 ~93,0%

[Gizmo_H]

G DATA 2010 erkennt 498 von 500 (99,6%) Schädlingen. Kein schlechtes Ergebnis.

Kannst du mir mal sagen, wie die den Zip-Ordner gescannt hast? Ich habe es versucht, aber wegen dem PW-Schutz hat GData nichts gemacht. Erst als ich den Ordner entpacken wollte, da ist dann der Wächter angesprungen. Allerdings hatte ich das Problem zu sehen wieviel er gescannt hat und wieviel er gefunden hat. Die Darstellung bei dir ist besser :-( Es waren aber noch drei Daten im Ordner, also wohl 99,4 % bei mir.

Grüße

[Jav.SEC.21]

Habe die Datei extrahiert und anschließend den Ordner gescannt ohne ihn vorher zu öffnen, der Wächter schreitet ja nur beim öffnen des Ordners ein.
Das noch drei Dateien im Ordner waren kann ich nicht bestätigen, bei der anschließenden Kontrolle konnte ich nur die zwei
nicht erkannten Schädlinge auffinden.

[Aasblume]

Es ist nicht so ganz das richtige Thema, aber:

Gibt es etwas wie den eicar-Test für 64bit? Genau gesagt würde ich gerne mal einen "Testvirus starten", um zu sehen wie das hier
[attachment=4797:Aufzeichnen4.JPG]
dann aussehen würde.
Dieses Problem hier http://www.rokop-security.de/index.php?s=&...st&p=274372 macht mich nämlich etwas nachdenklich.

Gruß, Aasblume

[Gast_Nightwatch_*]

Dieses Problem hier http://www.rokop-security.de/index.php?s=&...st&p=274372 macht mich nämlich etwas nachdenklich.

Hi
Lass Dich davon nicht verunsichern. Es handelt sich hierbei um einen Software-Fehler, den sämtliche Personen, die a-squared nutzen, beobachten. Ein Blick in die Foren zeigt das.
Wahrscheinlich hat emsisoft den Fehler gemacht, dass sie den Status für den Spyware-Schutz an die a²-Signatur-Einpflegungen gekoppelt haben. Da die T3- von Ikarus viel öfter updatet, bekommt das SC die Meldungen, dass der Schutz unvollständig ist.

Ansonsten gibt es wenig Testviren. Eicar reicht in der Regel aber aus. Echte Malware lässt sich einfach finden. Entweder durch google-Suchen, oder durch ein paar nette Threads hier . Unter 64x laufen die meisten aber eh nicht.

Gruß,
Nightwatch

[Aasblume]

Ansonsten gibt es wenig Testviren. Eicar reicht in der Regel aber aus. Echte Malware lässt sich einfach finden. Entweder durch google-Suchen, oder durch ein paar nette Threads hier . Unter 64x laufen die meisten aber eh nicht.

Eicar scheint ja nicht unter 64bit zum testen geeignet zu sein.
[attachment=4798:Aufzeichnen4.JPG]
Und die echte Malware...nachher hat man ausgerechnet die, die zwar unter 64bit läuft, aber nicht von EMSI erkannt wird. Insofern ist ein "unscharfer" schon nicht verkehrt. Bleibe trotzdem am Ball mit EMSI...dank Dir für die Antwort

Gruß, Aasblume

[Draco]

Ich teste zur Zeit auch die Malware. Einmal dieses 500 Teile Sample und das 5000 Sample Zip von Voyager.

Bis jetzt habe ich mit NIS 2009 ein Ergebnis von 94,2 % bei dem 500 Sample-Test. Einige Samples konnten ausgeführt werden. Rechner also infiziert.

Mit Eset NOD32 habe ich die beiden Archive durchsuchen lassen. Hierbei gab es einen Bluescreen und ich konnte die VM nur wiederherstellen, da nichts mehr ging.

Weitere Ergebnisse folgen.

[Voyager]

@Draco

Die eigentliche Frage wäre jetzt , sind diese Sachen nach sovielen Monaten überhaupt noch ein Risiko das es zu beantworten gilt ?