500 Malwaresamples zum selbertesten Einstellungen

[BlackDevil]

Moin Moin zusammen.

Ich hätte mal eine Frage, und zwar was für einen Unterschied macht es aus, wenn ich mein AV-Programm mit aktuellen oder z.B. 4 Jahre alten Malware Samples Teste? Ist das nicht egal wann und wo ein Virus in Umlauf gebracht worden ist, vor 1 Woche oder vor 4 Jahren, in DE oder Russland? Muss ein AV nicht alles erkennen? Wie aussagekräftig sind solche Tests?

Danke und Grüsse

[Gast_Scrapie_*]

Kennt jemand ein Programm, mit dem man ohne großen Aufwand die Dateinamen von Programmen in deren MD5 umbennen kann?

Ich nehm dazu immer den ReNamer von den4b

Unter
Add Rule => Insert Meta Tag
stehen u.A. MD5, SHA1 und CRC32 zur Auswahl. Presets einfach zu speichern und das nächste Mal dann nur zwei Mausklicks entfernt...




Cheers
Scrapie

[Voyager]

@BlackDevil

Ein AV sollte das Risiko von einer URL während der Verbreitung kennen , das bedeutet heutzutage vll. 3 Tage . Danach ist die Erkennung völlig wertlos weil das Risiko nichtmehr verbreitet wird.

[Julian]

@Scrapie: Genau, was ich gesucht habe.

[BlackDevil]

@Voyager

Danke Voyager, aber ich wollte noch mal nachhacken. Nehme ich eine 4 Jahre alte Daten-CD die voll mit Viren ist(keine Leichen). Beim Ausführen der Dateien erkennt mein AV nicht alle. Besteht dann nicht das Risiko einer Infektion?

[maxos]

@BlackDevil

Generell, warum sollten so alte Viren, die eben für die damaligen Sicherheitslücken im BS u. Anwendungen treffend waren auf einem aktuellen, gepatchtem u. upgedateten Pc noch laufen können.
Die möglichen Schwachstellen u. Einfallstore sind aller Wahrscheinlichkeit schon längst geschlossen.

Noch dazu sehe ich verwendest du Win7 64bit, da wird das meiste schon auf diesem BS einfach verhungern.

Der Beitrag wurde von maxos bearbeitet: 03.02.2010, 09:20

[Voyager]

Ein Risiko besteht immer , Malware kann auch Schaden auf dem System anrichten. Es geht hauptsächlich um den Verbreitungsfaktor , 4 Jahre alte Viren sind da sicher kaum noch relevant da bedeutet das Einpflegen des Mülles einfach zu viel Arbeit für die AV Firmen.

[Julian]

@BlackDevil

Generell, warum sollten so alte Viren, die eben für die damaligen Sicherheitslücken im BS u. Anwendungen treffend waren auf einem aktuellen, gepatchtem u. upgedateten Pc noch laufen können.
Die möglichen Schwachstellen u. Einfallstore sind aller Wahrscheinlichkeit schon längst geschlossen.

Was du aufzeigst, hilft bei Exploits. Bei PE-Malware ist es doch egal, ob eine Lücke in Programm X existiert. BlackDevil schrieb von "ausführen", das bezieht sich wohl hauptsächlich auf Programme.
Wenn Malware von vor X Jahren auf einem "unterstützten" OS ausgeführt wird, kann es doch immer noch das ganze System ruinieren oder andere Einfallstore öffnen.

[BlackDevil]

@maxos

Noch dazu sehe ich verwendest du Win7 64bit, da wird das meiste schon auf diesem BS einfach verhungern.

Auf meinem Test Rechner verwende ich WinXP Sp.3

@Voyager

Ein Risiko besteht immer , Malware kann auch Schaden auf dem System anrichten.

@Julian

Wenn Malware von vor X Jahren auf einem "unterstützten" OS ausgeführt wird, kann es doch immer noch das ganze System ruinieren oder andere Einfallstore öffnen.

Genau das ist eingetreten, der Rechner war Tot!
@Voyager

Es geht hauptsächlich um den Verbreitungsfaktor , 4 Jahre alte Viren sind da sicher kaum noch relevant da bedeutet das Einpflegen des Mülles einfach zu viel Arbeit für die AV Firmen.

Die Malware ist alt, sie verbreitet sich nicht ist aber brand gefährlich und legt meine Kiste lahm.
Es werden wie schon geschrieben ca. 35 bis 45 Tausend Malware Samples pro Tag verarbeitet, aber auch viele nicht berücksichtigt (es geht auch logischerweise nicht). Deshalb finde ich die Tests mit unbekannter oder auch alter nicht weit verbreiteter aber schädlicher Malware nicht unwichtig. Meine persönliche Meinung ist aber das die On-Demand Tests bei denen 99%+ rauskommt nicht realistisch und überbewertet sind, und es werden auch keine Schutz-Tools in der Champions League mitspielen wenn keine starke Verhaltensanalyse vorhanden ist. G-Data hatte das erkannt und baut jetzt ein Behaviour-Blocker ein.

Danke und Grüsse

[Voyager]

G-Data hatte das erkannt und baut jetzt ein Behaviour-Blocker ein.

Abwarten ...

[BlackDevil]

Ist klar. Muss natürlich funktionieren

[Julian]

327 Samples, so viele blieben über:
Avast: 67
Comodo: 62
MSE: 60
AVG: 58
Kaspersky: 27
AntiVir: 22

AntiVir und Kaspersky mit großem Abstand in Führung.
IMO kann man anstatt Comodo FW + Avast mittlerweile auch gleich CIS nehmen. Oder besser gleich AntiVir + X, wenns kostenlos sein soll. Für Avast Geld auszugeben erscheint mir nicht sinnvoll.

[Till 88]

Hallo
Könntest du bitte auch ein mal Vipre mit den samples testen?

[Varock]

Mich würde auch interessieren wie NIS abschneiden würde.
Könntest du es auch mit aufnehmen, wenn es nicht zu viel arbeit wäre? ^^

mfg Varock

[Voyager]

Ja Julian, mach du´s ma bitte

[Julian]

Vipre: 105
Norton: 78

Ich würd mal sagen, zwei neue Spitzenreiter.

[Voyager]

hast du vor der Zählung auch rebootet ? der löscht ja manches erst bei reboot.

[Julian]

hast du vor der Zählung auch rebootet ? der löscht ja manches erst bei reboot.

Tut er das? Hat er, direkt nachdem er fertig war, nicht gesagt. Designfehler?

Jedenfalls waren es vor sowie nach der Meldung 78 verbliebene Dateien. Keine Ahnung, was er da gelöscht haben will...

[Voyager]

Nein, ist kein Designfehler , zb. bei SYS Rootkit im Virenfolder will der immer rebooten. Vorsichtsmaßnahme denke ich. Bei anderer Malware ist das ähnlich aber Norton müsste sagen das er nach dem Scan rebooten will.

[Gast_Solaris_*]

Danke @Julian für Deine Mühe

Ich finde das Ergebnis von VIPRE nicht sonderlich überraschend. Im letzten Oktober habe ich etwa 3.000 Samples gehabt, von denen es rund 68% erkannte.

Gruß,
Solaris