500 Malwaresamples zum selbertesten Einstellungen

[Varock]

Avast hat ja mächtig aufgeholt seit dem letzten mal.

[Gast_Solaris_*]

Avast hat ja mächtig aufgeholt seit dem letzten mal.

Avast liegt bei mir (Test mit ~2300 Samples aus den letzten 5 Monaten bis heute) recht weit oben. Langt nicht ganz für Avira-Niveau, aber lässt sich mit BitDefender/F-Secure und Norton vergleichen (nur reine Signaturerkennung!).

Gruß,
Solaris

[markus17]

Hi!

Habe heute 19 neue Files abgegriffen, mit denen man sehr gut spielen kann. Wer testen möchte...geht von Koobface über Rustock und Katusha Querbeet durch´s Feld.
PN an mich...Rapidhare-Link.

Gruß,
Solaris

Achja, G Data hat von den 19 Files 8 übrig gelassen ... mittlerweile sind es noch drei Files. (hab nichts eingesendet) Leider bin ich nicht dazugekommen, ob die "Verhaltensüberwachung" auch eines der Samples blocken würde.

[Gast_Metabolit_*]

@Julian

Das Kaspersky Ergebnis. Wie waren da die Einstellungen ? (Höchste und oder automatisch u.s.w) DANKE

[Julian]

@Julian

Das Kaspersky Ergebnis. Wie waren da die Einstellungen ? (Höchste und oder automatisch u.s.w) DANKE

Auf höchste und alles löschen. Bei Avast und Antivir standard bzw. und dann auch löschen. IMO ist das fair, weil man bei Kaspersky durch das Hochschrauben der Einstellungen näher an den realen (On Execution) Bedingungen ist. Bei den anderen zwei Kandidaten ist das, wenn ich nicht irre, nicht so, denn diese machen ja keine zusätzliche tiefe Prüfung bei Programmstart. Was On Demand in Standardeinstellungen von denen nicht erkannt wird, wird auch später nicht erkannt, es sei denn sie droppen etwas bereits Bekanntes etc., was dann aber bei Kaspersky auch wieder noch zusätzlich hinzukommen würde.

Ich hab die Samples hochgeladen. Wer möchte -> PM.

Der Beitrag wurde von Julian bearbeitet: 26.01.2010, 17:29

[Voyager]

Danke , brauch ich nicht . Ich weiss die Erkennung jetzt schon, 100%

[markusg]

ach komm :p

[markus17]

Vom Paket von Julian bleiben mit G Data nach einem Scan 21 Files über und eines wird durch die Verhaltensüberwachung unschädlich gemacht. Beim Ausführen von manchen Dateien erkennt dann der Wächter einen Trojaner (oder ähnliches). Da habe ich aber jetzt nicht genauer nachgeprüft, ob dadurch eine Infektion verhindert wurde.

[Julian]

Kennt jemand ein Programm, mit dem man ohne großen Aufwand die Dateinamen von Programmen in deren MD5 umbennen kann?
Dann könnte man ausschließen, dass man irgendwelche Samples doppelt hat.

[Voyager]

Total Commander :

Alle Dateien im Ordner markieren
Reiter Dateien -> Erzeuge CRC Quersummen -> MD5 ankreuzen -> OK
Dann hast du im Ordner eine Textdatei Ordnername.md5 , in dieser stehen alle MD5 und dahinter Dateiname .

Gänge das ?

[SLE]

Direkt zum umbenennen hab ich jetzt nichts -aber falls du den TC nicht nutzt: Hash My Files (standalone) von Nirsoft berechnet auch für alle Files im Ordner die Hashes und kann zumindest identische markieren.

Der Beitrag wurde von SebastianLE bearbeitet: 26.01.2010, 21:10

[Julian]

Total Commander :

Alle Dateien im Ordner markieren
Reiter Dateien -> Erzeuge CRC Quersummen -> MD5 ankreuzen -> OK
Dann hast du im Ordner eine Textdatei Ordnername.md5 , in dieser stehen alle MD5 und dahinter Dateiname .

Gänge das ?

Das ist schon mal nicht schlecht.
Thx so far. Mal gucken, was noch so kommt.

[Gast_Solaris_*]

Avast 5 mit max. Einstellungen und Heuristikstufe lässt 28 Dateien im Ordner übrig.
Die FSIS 2010 ganze 20 Samples, wobei ich die 19 schon eingeschickt hatte.

An dieser Stelle nochmal ein großes Dankeschön @Julian für´s sharen !

Gruß,
Solaris

[Solution-Design]

Weil dann innerhalb kürzester Zeit der Test keiner mehr wäre? Ich halte von den Hochlad-Aktionismus sowieso nicht wirklich viel. Die Laboratorien kennen die Adressen genau wie wir. Also sollen sie auch was tun. Schlecht, wenn sie die Links auf malwarebyte, comodo und malwaredomainlist ignorieren. Dann gibt es auch schlechte Ergebnisse.

[Gast_Solaris_*]

Die Laboratorien kennen die Adressen genau wie wir. Also sollen sie auch was tun.

Hey Solution
Nein, kennen sie häufig nicht.
Aber es interessiert sie auch nicht wirklich. Auch die MDL nicht. Da schaut keiner von den Unternehmen vorbei. Die schauen, was mit einer X-Zahl an Verbreitung läuft. Nicht was ein No-Name-Server aus Moskau minütlich an Schrott hochlädt, den sich max. 50 Leute weltweit anschauen.
Dafür haben sie ihre Honeypots, Netzwerke und mehr als genügend alte Samples pro Tag (laut Panda im Durchschnitt 55.000/Tag in 2009 - Thread hatten wir ja schon).

Gruß,
Solaris

[Julian]

Direkt zum umbenennen hab ich jetzt nichts -aber falls du den TC nicht nutzt: Hash My Files (standalone) von Nirsoft berechnet auch für alle Files im Ordner die Hashes und kann zumindest identische markieren.

Das Programm ist Gold wert.
Danke für den Tipp.

11 Samples sind doppelt, das wird an den Ergebnissen nicht groß was verändert haben.

[olli]

Moin zusammen!

Ich habe Julian´s Samples mal mit BitDfender geprüft:

Ergebnis: Es bleiben 131 Samples übrig.

Geprüft mit den höchsten Einstellungen und alles auf "löschen".

Seltsam, seltsam...

Bis denne
Olli

[Julian]

Seltsam, seltsam...

IMO eher schlecht als seltsam. Sind alles zum Downloadzeitpunkt akute Bedrohungen, die nicht erkannt wurden.
Mich verwundert das schlechte Abschneiden von BD nach den Ergebnissen der dynamischen Tests von AV-Test und AV-Comparatives nicht, denn bei ersterem war es genau so grottig...

[olli]

So, nachdem KIS nachgeputzt hat, sind noch 5 Dateien übrig.

Bis denne
Olli

[Catweazle]

So, nachdem KIS nachgeputzt hat, sind noch 5 Dateien übrig.

Bis denne
Olli

Das ist aber dann, kein richtiger Test, wenn der Kollege "ausgeholfen" hat, oder ?!

Catweazle