500 Malwaresamples zum selbertesten Einstellungen

[Draco]

Persönlich kann ich nur sagen, dass einige anwendungen durchaus noch aktiv waren und auch funktionierten. Das sich NIS sich auf der Windows 2000 VM nach wahllosen anklicken der Samples nicht installieren ließ und NOD fehler im Antivirus Kernel meldete, denke ich schon, dass sie noch gefährlich sind.

[Voyager]

Du hast mich falsch verstanden , die Frage ist ob diese alten Risiken überhaupt noch in der akuten Verbreitung bestehen ? Die Antwort wäre hier mit hoher Wahrscheinlichkeit Nein , man wirft immer Neues Zeug ins Netz und kaum Altes von daher spielt das auch kaum noch eine Rolle ob die Dinger erkannt werden oder nicht.

[Solution-Design]

Einige Samples konnten ausgeführt werden. Rechner also infiziert.
Mit Eset NOD32 habe ich die beiden Archive durchsuchen lassen. Hierbei gab es einen Bluescreen und ich konnte die VM nur wiederherstellen, da nichts mehr ging.

von daher spielt das auch kaum noch eine Rolle ob die Dinger erkannt werden oder nicht.

Es mag schon sein, dass alte/ältere nicht verbreitete Malware bei den AV-Herstellern verworfen wird. Im Falle der Nichterkennung war es bei meinem damaligem Test eher nicht lauffähige Malware bzw. hatte Symantec diese bereinigt und dann konnte das bereinigte Programm auch gestartet werden. Bei Antivirus2008 - egal welcher TrojanDownloader dieses heruntergeladen hatte - versaute Symantecs AV das Vista-Startmenü. Ansonsten war das Abschneiden ok. Avast kam nur bis zum BlueScreen, trotz ReBoot und "Scan before Windows starts". Jetzt wird auch NOD32 in den BlueScreenOfDeath geschickt. So gesehen gewinnt man die Erkenntnis, dass mangelhafte Bereinigungsfunktionen schlechter sind, als gar keine. Noch dazu verrät dieser Test etwas über die Produktqualität. Immerhin kommt es nur zum BoSD, wenn auch noch etwas erkannt wird. Macht also immer noch Sinn, die Samples mit neuen AV-Versionen zu testen.

Allerdings sollte wie im folgenden Posting, das Dateidatum der Samples geändert werden, damit man auch sehen kann, welche Dateien bereinigt oder nur übersehen wurden. Am Ergebnis bezüglich Bereinigungs-Prüfung ändert das natürlich nichts, aber falls jemand eine Prozentzahl in den Raum wirft, hilft dies, diese zu verifizieren.

In diesem Screenshot



habe ich die Malware vordatiert. So ist es leichter zu erkennen, ob Dateien bereinigt wurden. Das mit nicht geändertem Datum (eingerahmt) wurde somit entweder übersehen, oder es ist Cropzeugs, was sowieso nicht lauffähig ist.

Der Beitrag wurde von Solution-Design bearbeitet: 23.05.2009, 06:33

[Draco]

Du hast mich falsch verstanden , die Frage ist ob diese alten Risiken überhaupt noch in der akuten Verbreitung bestehen ? Die Antwort wäre hier mit hoher Wahrscheinlichkeit Nein , man wirft immer Neues Zeug ins Netz und kaum Altes von daher spielt das auch kaum noch eine Rolle ob die Dinger erkannt werden oder nicht.

Das lässt sich natürlich hinterfragen. Das eine Programm lud jedoch fleisig einen Game Client für irgendein Spiel herunter. Ob diese Datei nun bereinigt war oder nicht, konnte ich nicht feststellen.

Aber alleine schon deswegen, dass die Anwendung, auch wenn sie keinen Schaden anrichten sollte oder mehr kann, auf dem Rechner trotzdem aktiv bleibt, stört es mich schon, dass mein Virenschutzprogramm die Viren nicht killen konnte.

NIS hat bei der Entfernung einen guten Eindruck hinterlassen, aber was nutzt einem der beste AV, wenn man nicht genau weiß, ob wirklich alles weg davon ist?

So jetzt auch gesehen bei einem Bekannten. Hatte 26 Viren auf den Rechner, z.T. uraltes Zeug, brachte den Rechner trotzdem zum abschmieren.

Und ob ihr es glaubt oder nicht: dieses Teil war auch auf dem Rechner... dachte immer es sei nur ein Fake... aber naja...
http://www.myvideo.de/watch/2733494/SAW_VIRUS

Kaspersky hat das System so gut wie es ging noch mal sauber bekommen, sodass eine Windows Neuinstallation möglich war.

[Habakuck]

Und ob ihr es glaubt oder nicht: dieses Teil war auch auf dem Rechner... dachte immer es sei nur ein Fake... aber naja...
http://www.myvideo.de/watch/2733494/SAW_VIRUS

Kaspersky hat das System so gut wie es ging noch mal sauber bekommen, sodass eine Windows Neuinstallation möglich war.

^^ wer seinen Rechner die 100 Sekunden angeschaltet lässt ist auch echt dämlich. Stecker raus und LiveCD rein...

Ich hatte hier mal ein wesentlich beschisseneres Teil rumliegen. Der hat ohne Schnick Schnack gleich nach dem Doppelklick alles geschreddert. Hat keine 10 Sekunden gedauert... Neuaufsetzen hinterher war unmöglich. Die Festplatte durfte man wegschmeißen...

Der Beitrag wurde von Habakuck bearbeitet: 23.05.2009, 11:26

[markus17]

Kann man den "SAW Virus" irgendwie stoppen bzw. kann ich mir den irgendwo downloaden?

[dragonmale]

Allerdings sollte wie im folgenden Posting, das Dateidatum der Samples geändert werden, damit man auch sehen kann, welche Dateien bereinigt oder nur übersehen wurden.

Warum so kompliziert? Ich habe schon im März nicht verstanden, warum du dir extra die Arbeit machst und das Dateidatum, der Samples, änderst/vordatierst. Im Prinzip ändert dies doch nichts daran, dass man (einfach nur) die, nach der Bereinigung, verbliebenen Dateien nach "Geändert (am)" sortieren muss/braucht, um zu sehen, welche Dateien verändert wurden. Dabei spielt es dann doch überhaupt keine Rolle, welches Datum die nicht veränderten (also die vermeintlich sauberen) Dateien haben, denn die veränderten (bereinigten) Dateien wurden doch am Tag des Scans verändert/bereinigt -> und wenn man die Dateien entsprechend (nach "Geändert (am)") sortiert hat, sollte dies doch wohl ersichtlich sein, welche/wie viele Dateien, am Tag des Scans, verändert wurden ...

Der Beitrag wurde von dragonmale bearbeitet: 23.05.2009, 12:14

[Gast_Nightwatch_*]

Kann man den "SAW Virus" irgendwie stoppen bzw. kann ich mir den irgendwo downloaden?

Hi
Wenn er erstmal läuft, dann anschließend nur über Boot-/Live-CD´s. Aber vor oder während der Ausführung lässt sich das Teil blocken.
Ich hatte mal einen Download-Link. Mal schauen, ob ich ihn nochmal auftreiben kann. Das Ding ist schon relativ alt und ist gegen zu manch anderen Kill-Disk-Viren noch recht harmlos. Nur die erzeugte Stimmung und Aufmachung ist für jemanden, der nicht weiß, was gerade passiert, recht fies.

Gruß,
Nightwatch

[Gast_Nightwatch_*]

Es gibt übrigens ziemlich viele Fake-Programme von Trittbrettfahrern. ITW war dieser "Gamer-Virus" sowieso nie. Wurde von fast allen gängigen AV´s sofort erkannt.

Da ist nicht mal eine Script-Injection. Also alles völlig harmlos

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 23.05.2009, 13:09

[Solution-Design]

dragonmale hat natürlich Recht, auch wenn es im SpeedCommander nur drei Klicks sind

[Solution-Design]

Das angesprochene Game habe ich sogar kurz gespielt. Lief, war aber eine Testversion <grins>

Kann aber so manche AVs verstehen, die darin erstmal nicht's böses erkannt haben.

[markus17]

Es gibt übrigens ziemlich viele Fake-Programme von Trittbrettfahrern. ITW war dieser "Gamer-Virus" sowieso nie. Wurde von fast allen gängigen AV´s sofort erkannt.

Da ist nicht mal eine Script-Injection. Also alles völlig harmlos

Gruß,
Nightwatch

Von diesen Homepages hab ich jetzt auch schon einige gefunden, aber keine infizierte bzw. eine mit einem Downloadlink.

[Gast_Nightwatch_*]

Von diesen Homepages hab ich jetzt auch schon einige gefunden, aber keine infizierte bzw. eine mit einem Downloadlink.

Jepp. Das ist mittlerweile ein richtig großes Business geworden
Einen Download-Link habe ich auch nicht mehr gefunden. Aber wie gesagt, das Teil ist auch uralt und im Vergelcih zu modernen Samples völlig ungefährlich, wenn man mit Verstand und Absicherung unterwegs ist.

Gruß,
Nightwatch

[markus17]

Awww und ich hätte mich schon über ein witziges Sample gefreut.

Der Beitrag wurde von markus17 bearbeitet: 23.05.2009, 22:08

[Draco]

Jepp. Das ist mittlerweile ein richtig großes Business geworden
Einen Download-Link habe ich auch nicht mehr gefunden. Aber wie gesagt, das Teil ist auch uralt und im Vergelcih zu modernen Samples völlig ungefährlich, wenn man mit Verstand und Absicherung unterwegs ist.

Gruß,
Nightwatch

Dann möchte ich nicht wissen, wie der Rechner vorher geschützt war, bevor er sich diesen SAW-Virus eingefangen hat. Habs leider nicht komplett live gesehen, aber ich glaube es war Avast als Virenscanner installiert. Aber solange ich das nicht selbst testen konnte, leg ich mich mal nicht fest.

[Voyager]

In meinem Virenordner haben sich mittlerweile 407 Objekte angesammelt die Norton bisher nie oder noch nicht im On-Demand Scan (manuell) erkannt hatte , das sind Objekte quer durchs Gemüsebeet von Riskware bis Schreckware und Trojaner ect. , das älteste Sample ist hierbei von 02.2006.
Das heisst aber nicht Norton würde hier garnichts erkennen , im On Access Scan passiert hier in der Regel schon was , spielt heute aber keine Rolle. Von Norton erkannt wurden beispielsweise in nur 4 Monaten vom 11.2.2009-16.6.2009 1063 Dateien, hier bestünde die Chance das die Konkurenz nicht alles erkennt.

Diese Objekte habe ich jetzt einmal mit der Konkurenz im On Demand Scan geprüft . Die Infektions-Funde wurde hier in allen Produkten auf Löschen gestellt es wurde nichts desinfiziert auch wurde die Erkennungsrate so hoch wie möglich gestellt, der unerkannte Rest im Ordner wurde für die jeweilige Erkennungsrate gezählt.

Erkannte Dateien von 407 Dateien:

a-squared4.5 - 369

Antivir9 - 365

Gdata2010 - 295

Kaspersky09 - 221

Fsecure09 - 180

PrevX3 - 122 (da Prevx Trial nichts löscht wurde nur die angezeigte Erkennung im Erkennungsfenster gezählt)

In der Cloud sind wohl zuviele Wolken !?

Der Beitrag wurde von Voyager bearbeitet: 16.06.2009, 22:31

[subset]

In der Cloud sind wohl zuviele Wolken !?

Theoretisch könnten es aber auch tatsächlich 122 Schadprogramme sein, da du über die Beschaffenheit der Dateien ja nicht viel weißt, also ob die 407 Dateien bei der Ausführung tatsächlich etwas böses machen.
Bei anderer Betrachtung könnte man das Ergebnis z.B. auch als FP Hitliste interpretieren.

MfG

[Voyager]

da du über die Beschaffenheit der Dateien ja nicht viel weißt

Woher willst du das wissen

also ob die 407 Dateien bei der Ausführung tatsächlich etwas böses machen.

Die sind täglich geprüft also keine Sorge die machen schon alle was , da ist nichts Nichtfunktionierendes dabei.

Der Beitrag wurde von Voyager bearbeitet: 16.06.2009, 22:40

[subset]

Die sind täglich geprüft also keine Sorge die machen schon alle was , da ist nichts Nichtfunktionierendes dabei.

Dann sieht das On Demand Scan Ergebnis aber tatsächlich schlecht aus für Norton.
Ne, ich glaube es würde für andere AVs auch nicht anders aussehen. Logisch, oder?

Wäre witzig, wenn IBK mal solche Listen für seine Tests veröffentlichen würde.
Vom Rest erkannt, aber von AV x nicht.

MfG

[Voyager]

Dann sieht das On Demand Scan Ergebnis aber tatsächlich schlecht aus für Norton.

Nicht zwangsweise , wenn wir 1000 erkannte Dateien in 4 Monaten hochrechnen auf 3 Jahre haben wir 9000 Dateien . Hier machen 400 Dateien in 3 Jahre nur einen Prozentsatz von 5% aus.

Ne, ich glaube es würde für andere AVs auch nicht anders aussehen. Logisch, oder?

Lässt sich nur schwer nachprüfen wieviel Gdata oder Kaspersky von den 1063 Dateien On Demand erkennt aber der Alleskönner sindse auch nicht wie man oben sieht

Der Beitrag wurde von Voyager bearbeitet: 16.06.2009, 23:33