500 Malwaresamples zum selbertesten Einstellungen

[Solution-Design]

Hier im Screenshot ist die unterschiedliche Erkennung von Vista und XP jeweils 32 Bit erkennbar. Die markierten Vista-Files wurden unter XP erkannt.

[IBK]

info bzgl. einiger dateien im archiv, z.B.:

...\Test\test (23).exe falsche dateiendung
...\Test\test (24).exe falsche dateiendung
...\Test\test (63).exe falsche dateiendung
...\Test\test (66).exe läuft nicht
...\Test\test (78).exe falsche dateiendung
...\Test\test (103).exe falsche dateiendung
...\Test\test (107).exe falsche dateiendung
...\Test\test (108).exe falsche dateiendung
...\Test\test (110).exe falsche dateiendung
...\Test\test (113).exe falsche dateiendung
...\Test\test (114).exe falsche dateiendung
...\Test\test (116).exe falsche dateiendung
...\Test\test (117).exe falsche dateiendung
...\Test\test (118).exe falsche dateiendung
...\Test\test (152).exe läuft nicht
...\Test\test (184).exe falsche dateiendung
...\Test\test (187).exe läuft nicht
...\Test\test (206).exe läuft nicht
...\Test\test (222).exe läuft nicht
...\Test\test (243).exe falsche dateiendung
...\Test\test (254).exe falsche dateiendung
...\Test\test (255).exe läuft nicht
...\Test\test (258).exe läuft nicht
...\Test\test (262).exe läuft nicht
...\Test\test (304).exe läuft nicht
...\Test\test (307).exe falsche dateiendung
...\Test\test (359).exe läuft nicht
...\Test\test (360).exe läuft nicht
...\Test\test (361).exe läuft nicht
...\Test\test (386).exe falsche dateiendung
...\Test\test (398).exe läuft nicht
...\Test\test (401).exe falsche dateiendung
...\Test\test (403).exe falsche dateiendung
...\Test\test (404).exe falsche dateiendung
...\Test\test (406).exe falsche dateiendung
...\Test\test (407).exe falsche dateiendung
...\Test\test (409).exe falsche dateiendung
...\Test\test (427).exe falsche dateiendung
...\Test\test (432).exe falsche dateiendung
...\Test\test (435).exe falsche dateiendung
...\Test\test (463).exe läuft nicht

[Julian]

Es sollte für die AVs ja egal sein, wie die Dateiendung lautet.

[IBK]

nein, das ist nicht egal. einige AV's erkennen bestimmte malware nicht wenn die dateiendung komplett falsch ist.

[Voyager]

naja da sollten die aber nachbessern weil man die AVs sonst austricksen kann , mir fällt da ganz spontan die jpg gif png Links ein auf den Malwarelisten was ausführbare Dateien sind. Die werden hier der Reihe nach vom IPS immer erkannt.

[fenriz]

@julian.
Und warum "teilst" du nicht??

[Julian]

@julian.
Und warum "teilst" du nicht??

Lass dir doch keine Flöhe ins Ohr setzen
Selbst der undankbare Voyager hat das Paket gekriegt

Ich poste aber bestimmt nicht öffentlich den Link, schick mir oder einem der das Paket schon hat eine PM.

[Voyager]

Undankbar ? Ich hatte mich schon im Vorraus bei der Anfrage per PN bedankt aber da du mir ja in der Regel per PN sowieso nicht antwortest hab ich dann auch keine Notwendigkeit mehr gesehen... Undankbar binsch nee, aber nachtragend

Der Beitrag wurde von Voyager bearbeitet: 03.08.2009, 14:26

[Solution-Design]

Ihr seid niedlich

[Julian]

nee, aber nachtragend

Nee, aber unverschämt. Erst mich öffentlich bloßstellen und dann tun, als ob nichts gewesen wäre

[Voyager]

Du bist echt kompliziert !? Ich weiss nicht von was du redest.
Schreib mir das an anderer Stelle was du fürn Problem hast.

Der Beitrag wurde von Voyager bearbeitet: 03.08.2009, 15:52

[Solution-Design]

Bei a-squared hat sich was getan. Nach mehreren SignaturUpdates ist das Ergebnis bis auf eine Erkennung gleich



Jetzt müsste nur noch jemand verraten, was da war.

Avira lässt nun wie a-squared unter XP 31 Dateien zurück. 11 Dateien davon kennt der eine nicht, die der andere kennt.

Der Beitrag wurde von Solution-Design bearbeitet: 03.08.2009, 19:17

[Julian]

Ein Statement von emsi wäre IMO durchaus angebracht.

[Solution-Design]

Habe das selbe zum Aufwachen in deren Forum geschrieben. Mal schaun, ob sich wer erbarmt. Übrigens, mit Signaturen vom 29.07. bleiben unter XP mit a-squared 84 Files (wie viele unter Vista wär natürlch interessant, wegen des Fehlers), mit Avira 95 Files übrig. Also, entweder sind die Jungs ganz heiß auf die Dateien der MRG... oder die Malware ist sooo verbreitet.

[xri12]

Soa hab auch eben die 500 neuen Samples getestet(danke Julian ).

Die GData TC Beta mit den aktuellsten Updates(4.8.) übersieht 46 Dateien.
Hier ein Screenshot von den übrigen Dateien:



Erst war ich etwas geschockt das über 100 Dateien übrig blieben, aber da hab ich vergessen die Updates zu laden

[Voyager]

Erst war ich etwas geschockt das über 100 Dateien übrig blieben, aber da hab ich vergessen die Updates zu laden

Das heisst mehr als 50 Signaturen wurden innerhalb kürzester Zeit zur Erkennung genau dieser Objekte nachgereicht , das heisst auch der Gdata Scanner muss auch nur explizit gefüttert werden sonst hat das keine 99% Wirkung in Boulevard Tests.

[Solution-Design]

Die Samples sind teilweise -vorsichtig gesagt- nicht mehr ganz jung. Wenn ich dann sehe, wie a-squared, G-Data, avira innerhalb weniger Tage; Quatsch, innerhalb weniger Stunden die Erkennungsrate in die Höhe treiben, so frage ich mich, was die Labs da sonst noch so tun. Ma sollte mit Signaturen testen, welche maximal 2 Tage jünger sind, als die Malware-Samples selbst. Kaum ist was von der MRG freigegeben, wird upgedatet wie die wilden.

Edit/Beispiel: a-squared beim Test um ca. 18:00 Uhr von Julian 167 Dateien übrig. Test von mir gegen 21:xx 84 Dateien übrig. Ein paar Stunden später, 31 Dateien übrig. Holla die Waldfee. Bei Avira sieht es ähnlich aus, G-Data steht dem nichts nach.

Der Beitrag wurde von Solution-Design bearbeitet: 04.08.2009, 23:13

[Voyager]

Das heisst genau genommen die Malware wurde zum Zeitpunkt der Verbreitung nicht eingeschickt oder nicht bearbeitet . Bei Symantec würde ich immer auf die zweite Möglichkeit wetten.
Das Gelumbe nachträglich zu blacklisten bringt wie gesagt eigentlich wenig bis garnichts wenn der AV Vendor sich hier keine Zeit nimmt die gedroppte bzw. nachgeladene Malware auch zu blacklisten , wenn er das wie zb. im Fall Symantec aber tut dann bringts was.

Symantec gibt sich derzeit wieder alle Mühe negativ aufzufallen , die letzten 4 Einsendungen mit bis zu 10 Viren pro Einsendung nicht bearbeitet und das aktuelle ! Zeug bleibt eben liegen , scheiss auf die User die man damit nicht schützt .
Auf der anderen Seite wurden aus Julians letzten Packet schon wieder viele Objekte erkannt und wir sind derzeit bei : von 93 auf 82 Rest runter.

Der Beitrag wurde von Voyager bearbeitet: 04.08.2009, 23:44

[xri12]

Hat jemand von euch die Samples mal mit der Beta von Norton IS 2010 getestet?
Ich glaube da läuft bei mir was falsch, da nur 63 Dateien erkannt werden und der Rest nicht angerührt wird. Trotzdem bekomme ich aber beim öffnen einzelner Dateien eine Warnung das ein Trojaner enthalten sein könnte.

[Voyager]

Ich glaube da läuft bei mir was falsch, da nur 63 Dateien erkannt werden und der Rest nicht angerührt wird

Symantec lässt zu Testzwecken viele Signaturen weg in der Beta, das wurde auch so angekündigt... in der Final erkennt die 2010 natürlich dasselbe Material wie die 2009 sonst wärs Mist.

Trotzdem bekomme ich aber beim öffnen einzelner Dateien eine Warnung das ein Trojaner enthalten sein könnte.

Das liegt daran weil Sonar 2 jetzt wesentlich effektiver arbeitet und sehr viele schädliche Verhaltensweisen erkennt.

Der Beitrag wurde von Voyager bearbeitet: 05.08.2009, 21:32