500 Malwaresamples zum selbertesten Einstellungen

[Julian]

Das ist aber dann, kein richtiger Test, wenn der Kollege "ausgeholfen" hat, oder ?!

Catweazle

Das Testchen mit BD hatte Olli ja auch schon gemacht.
Jetzt wollte er, denke ich, nur zeigen, wie ein anderer Scanner mit den verbliebenden Samples umgeht.

[olli]

Das Testchen mit BD hatte Olli ja auch schon gemacht.
Jetzt wollte er, denke ich, nur zeigen, wie ein anderer Scanner mit den verbliebenden Samples umgeht.

Genau.

Nachdem BitDefender doch einiges nicht erkannt hat, habe ich KIS einfach mal zum Spaß über die verbliebenen Samples laufen lassen. Also könnte man sagen:Die Kombi aus BitDefender und KIS hat eine Erkennungsrate von 99%

Ich werde nachher mal GData laufe lassen. Und zwar nur mit der BD-Engine. Mal sehen, wie es dann aussieht.

Bis denne
Olli

[Catweazle]

...gut.

Catweazle

[olli]

Moin zusammen!

Aber irgendwas scheint mit den Samples nicht zu stimmen. GData lässt auch über 150 Dateien übrig... Da kann doch irgendwas nicht hinhauen.
Ich werde die Samples Morgen nocheinmal herunterladen und dann nochmal testen. Heute komme ich leider zu nix.

Bis denne
Olli

[Till 88]

Vipre lässt 80 Dateien übrig.

[Gast_Metabolit_*]

@Julian (editiert) = Danke für das neuste Testsample

Also beginnen wir mal. Bei allen Programmen wurde die schärfsten Einstellungen gewählt:

Avast 5 (IS) : 26 Dateien übrig

ESET Smart Security: 35 Dateien übrig

A-Squared 4.5: 6 Dateien übrig (ohne Paranoia Modus)

Panda IS 2010: 0 Dateien übrig

Kaspersky IS 2010: 10 Dateien übrig

Avira Premium V9 / 2010: 9 Dateien übrig

Norton Internet Security 2010: 52 Dateien übrig ( nur gescannt, kein Ausführen = Sonar)

Der Beitrag wurde von Metabolit bearbeitet: 29.01.2010, 15:48

[Gast_Solaris_*]

@Solaris = Danke für das neuste Testsample

Hi
@Julian hat das große Sample-Set weitergegeben

Gruß,
Solaris

[Gast_Metabolit_*]

Arghhhhhhh....Gott. Stimmt ja = Peinlich

Danke @Julian

[devaletin]

wo bekomme ich den diesen netten Ordner her ?

[IBK]

wenn ich link per pm bekomme kann ich kurz schauen ob etwas nicht erkennungswürdig ist...
ok, done. 3-minuten-check hat ergeben:

nicht lauffähig:
4 (2).exe
4.exe
cq36.exe
dbasqlr (2).exe
install (2).exe
KB959459.exe
load (3).exe
load(11).exe
load(4).exe
n22.exe
ZX2.exe

doppelt vorhanden (exact selbe datei):
001.exe = 001 (2).exe
100038.exe = 100038 (2).exe
4.exe = 4 (2).exe
aaa6_ldr3.exe = aaa6_ldr3 (2).exe
bot (9).exe = bot (8).exe
cctray.exe = ccl80u.exe
delgps.exe = dbasqlr.exe
hosts2.exe = hosts2 (2).exe
player028.exe = player028 (2).exe
smss.exe = smss (2).exe
vir.exe = doperrr.exe

es sind außerdem viele archive (teils beschädigte archive) dabei, sowie öfters selbe adware. (d.h. beim zählen der funde müsst ihr acht geben, nicht einfach die zahl anschauen). beispiele:
1 (3).exe
11.exe
12.exe
13.exe
1339.exe
15.exe
17.exe
18.exe
19.exe
22.exe
23.exe
24.exe
26.exe
27.exe
28.exe
3 (2).exe
3.exe
31.exe
32.exe
33.exe
34.exe
35.exe
37.exe
38.exe
39.exe
42.exe
43.exe
44.exe
45.exe
47.exe
48.exe
5dsss.exe
6-adw_funxy-4.6.3.1.exe
6.exe
7.exe
8.exe
97sese.exe
a.exe
AntiEngel.5.0a.exe
BigFot.exe
brittle.exe
cam2pani.exe
cqwm.exe
flash_player_update.exe
flash_player_v11.exe
GeneralAntivirus.exe
hosts (2).exe
jiba360.exe
KB959457.exe
lasetup.exe
mirc.exe
multifile.exe
new301 (2).exe
new301.exe
nvscv.exe
opaslf.exe
player.exe
postcard.gif.exe
pvqinst.exe
qd.exe
QvodSetupPlus3.exe
RCRClient_Install.exe
showtel_in.exe
systmn.exe
taskengc.exe
top17.exe
upgrade.exe
uTorrent.exe
veja.exe
waigua.exe
wlmzjsg.exe
yahoo_start_34.exe
yoyo1182.exe
yuyiok.exe
yx (2).exe
yx.exe
_.exe

mehr kann ich in der kurzen zeit nicht sagen, müsste man genauer schauen.

Der Beitrag wurde von IBK bearbeitet: 29.01.2010, 15:58

[Gast_Metabolit_*]

Kann jemand mein Test mit Norton wiederholen ? Link per PM ! Das Ergebnis ist ja

Der Beitrag wurde von Metabolit bearbeitet: 29.01.2010, 15:49

[devaletin]

GDATA hinterlässt 20 Dateien ..

[Gast_Solaris_*]

Vielen Dank für die schnelle Analyse @IBK

Also müssen wir auch hier differenzieren.

Gruß,
Solaris

[Julian]

nicht lauffähig:
4 (2).exe
4.exe
cq36.exe
dbasqlr (2).exe
install (2).exe
KB959459.exe
load (3).exe
load(11).exe
load(4).exe
n22.exe
ZX2.exe

Nicht lauffähig bedeutet was?
Selbst in einer VM sind die bei mir ziemlich lebendig...

doppelt vorhanden (exact selbe datei):
001.exe = 001 (2).exe
100038.exe = 100038 (2).exe
4.exe = 4 (2).exe
aaa6_ldr3.exe = aaa6_ldr3 (2).exe
bot (9).exe = bot (8).exe
cctray.exe = ccl80u.exe
delgps.exe = dbasqlr.exe
hosts2.exe = hosts2 (2).exe
player028.exe = player028 (2).exe
smss.exe = smss (2).exe
vir.exe = doperrr.exe

Das wussten wir schon.

es sind außerdem viele archive (teils beschädigte archive) dabei, sowie öfters selbe adware. (d.h. beim zählen der funde müsst ihr acht geben, nicht einfach die zahl anschauen). beispiele:
1 (3).exe
11.exe
12.exe
13.exe
1339.exe
15.exe
17.exe
18.exe
19.exe
22.exe
23.exe
24.exe
26.exe
27.exe
28.exe
3 (2).exe
3.exe
31.exe
32.exe
33.exe
34.exe
35.exe
37.exe
38.exe
39.exe
42.exe
43.exe
44.exe
45.exe
47.exe
48.exe
5dsss.exe
6-adw_funxy-4.6.3.1.exe
6.exe
7.exe
8.exe
97sese.exe
a.exe
AntiEngel.5.0a.exe
BigFot.exe
brittle.exe
cam2pani.exe
cqwm.exe
flash_player_update.exe
flash_player_v11.exe
GeneralAntivirus.exe
hosts (2).exe
jiba360.exe
KB959457.exe
lasetup.exe
mirc.exe
multifile.exe
new301 (2).exe
new301.exe
nvscv.exe
opaslf.exe
player.exe
postcard.gif.exe
pvqinst.exe
qd.exe
QvodSetupPlus3.exe
RCRClient_Install.exe
showtel_in.exe
systmn.exe
taskengc.exe
top17.exe
upgrade.exe
uTorrent.exe
veja.exe
waigua.exe
wlmzjsg.exe
yahoo_start_34.exe
yoyo1182.exe
yuyiok.exe
yx (2).exe
yx.exe
_.exe

KAV kommt nur auf 16 ungefährliche Erkennungen.

Bei allem Respekt, aber ich frage mich, warum deine Erkenntnisse so von denen von Kaspersky Lab abweichen. Ist ja nicht so, dass die bei PE-Malware jeden Schrott einpflegen, oder den zufällig über die Heuristik erwischen würden...

[IBK]

bzgl. lauffähigkeit: sorry, hatte falsche OS-config ausgewählt.
bei den archiven mein ich damit dass ein AV doppelt und 3-fach im archiv melden kann, und deshalb solltet ihr beim zählen acht geben (bzw. da es sich ja um dieselbe adware handelt, ergeben sich leicht schnell unterschiede falls eine adware nicht erkannt wird).

[Julian]

bei den archiven mein ich damit dass ein AV doppelt und 3-fach im archiv melden kann, und deshalb solltet ihr beim zählen acht geben (bzw. da es sich ja um dieselbe adware handelt, ergeben sich leicht schnell unterschiede falls eine adware nicht erkannt wird).

Ich habe Acht beim Zählen gegeben.
16 Dateien (Archive und Installer) werden von KAV als nicht schädliche Malware deklariert. Der Rest, von dem was KAV erkennt, ist dessen Meinung nach böse.

[IBK]

nicht schädliche Malware

diese bezeichnung ist ein widerspruch aber ich versteh was du meinst

[Gast_Metabolit_*]

Ich zähle manuell und schaue mir die Dateien an

Test mit Prevx 3.5 mit voll aufgedrehter Heuristik !

55 Dateien übrig



Der Beitrag wurde von Metabolit bearbeitet: 29.01.2010, 16:46

[Gast_Metabolit_*]

So das ganze nochmal mit AVAST 5 geprüft (richtig auf höste Regelungen eingestellt):

23 Dateien bleiben übrig



Davon sind 9 nicht lauffähig, bzw doppelt oder defekt - Siehe Vergleichsliste IBK oben

Bleiben - 14 Dateien übrig !

Dabei weiss ich noch nicht wie Avast anspringt wenn ich Sie ausführen will.

So dann den Rest mit A-Squared nachgescannt und es bleiben 2 Dateien übrig und davon ist nur 1 lauffähig = setup (9).exe

Spitzenergebnis in Zusammenarbeit !

Der Beitrag wurde von Metabolit bearbeitet: 30.01.2010, 16:56

[Julian]

Mal wieder ein Testchen mit 130 Samples aus dem MB-Forum (Die meisten nicht älter als eine Woche, keine doppelt, waren nicht in meinem ersten Testset enthalten, keine Ad- oder Riskware, alle von KAV übrig gelassenen werden auf VT von mehreren Scannern als schädlich eingestuft.). Die Scanner waren, bis auf KAV, in Standardeinstellungen. Ich hab keine Samples eingesendet.
So viele blieben im Ordner übrig (alle AVs auf löschen eingestellt):
Kaspersky: 8
Comodo 4: 11
Comodo 3: 13
AntiVir: 18
Avast: 22

Und falls sich jemand fragt: So etwas ist kein großer Zeitaufwand, ~<20 Minuten pro Tag.

Hallelujah, Comodo.