500 Malwaresamples zum selbertesten Einstellungen

[Till 88]

Danke das du dir die Zeit genommen hast.

[Varock]

Danke für deine mühe. ^^

[Julian]

Leider gehört Vipre auch zu den, was das Scannen von Samples angeht, sehr langsamen AVs. Selbst Norton ist mittlerweile mit Bereinigung schneller.
Und da die Erkennungsrate sowieso eher mau ist, würden sich weitere Testchen IMO nicht lohnen. Von Norton auch nicht, weil...

Jetzt fällt mir auch wieder Bastis (Solaris' ) Skepsis bei Norton ein: Es ist in seriösen Tests immer vorne mit dabei, aber irgendwie kehren sich die Gesetze der Physik um, wenn man selber mal was testet.
Vielleicht liegt es auch daran, dass die Samples relativ neu sind, die Heuristik von Norton taugt ja auch bei AV-C nicht viel. Andererseits kann auch schon nicht wieder von Zero Day-Bedrohungen die Rede sein, so neu sind die Samples nun auch wieder nicht, im Schnitt vielleicht anderthalb bis zwei Wochen.

[Voyager]

Unter Umständen kommt es dennoch zu Erkennungen wenn man die Malware direkt aus dem Internet lädt , das hatten meine ersten Tests mit Norton2010 ergeben.
http://www.rokop-security.de/index.php?sho...mp;#entry296973
Du müsstest die 78 Teile jetzt mit dem Firefox über einen http Server laden (irgendwann waren sie ja schliesslich mal im Web gewesen)

Und nein, das hat nichts mit dem kürzlichen Spuk zu tun , dieser Test war weit vorher am Silvester.

Der Beitrag wurde von Voyager bearbeitet: 04.02.2010, 22:40

[SLE]

Unter Umständen kommt es dennoch zu Erkennungen wenn man die Malware direkt aus dem Internet lädt , das hatten meine ersten Tests mit Norton2010 ergeben. ...Du müsstest die 78 Teile jetzt mit dem Firefox über einen http Server laden (irgendwann waren sie ja schliesslich mal im Web gewesen)

Hier habe ich auch schon geschrieben, dass dies nicht wirklich zählt. Was ist, wenn die Dinger über Usb Stick kommen - oder einfach in einem (am besten noch passwortgeschützten) Archiv? Nichts - dann gelten Julians Ergebnisse.

Und nein, das hat nichts mit dem kürzlichen Spuk zu tun , dieser Test war weit vorher am Silvester.

Ich wäre darauf rumgeritten....

[Voyager]

@SebastianLE

Du hast natürlich Recht aber man könnte das eventuell so machen das man für Stick und EmailMalware ein statistisch prozentualen Anteil berechnet (der hier nicht sehr hoch ausfällt) und diese % Objekte rein zufallsorientiert von der Menge abzieht und den Rest ganz einfach auf meine Art scannt

Der Beitrag wurde von Voyager bearbeitet: 04.02.2010, 22:55

[SLE]

Bzgl. der Sticks magst du Recht haben, aber ich denke, dass doch auch sehr viel der heutigen Malwareverbreitung noch immer über Tauschbörsen oder OKH mit passwortgeschützen Archiven (mit den tollsten Programmen und Keygens) im Inhalt läuft.

Daneben: User xy lädt sich montags Malware aus dem Internet herunter. Diese ist relativ neu und Download Insight von Norton und alle anderen WebAV Lösungen bleiben still. Aber User xy ist ja etwas paranoid und scannt jeden Freitag seinen PC mit dem AV seiner Wahl. Und siehe da - viele schlagen an andere nicht. Und hier zählt es das Argument "Download Insight" dann nicht mehr - die Malware ist schon auf dem PC. Wir reden hier immerhin von Heimanwenderprodukten und die wenigsten Heimanwender die NIS nutzen laden die Files dann über einen Http Server nochmal.

Julian führte einen klassischen on-demand Test mit einigermaßen neuen Samples aus - und da hat NIS nun mal mehr versagt als andere.

[Voyager]

Und hier zählt es das Argument "Download Insight" dann nicht mehr

Das ist ja gerade der Punkt , die Erkennungen waren keine signaturbasierenden Erkennungen .

[SLE]

Das ist ja gerade der Punkt , die Erkennungen waren keine signaturbasierenden Erkennungen .

Egal - bei on-demand Tests und Scans kommen sie trotzdem nie zum tragen. Von daher sind sie hier obsolet.

[Voyager]

Und hoffentlich kommt das auch bald ausser Mode weil solche Testszenarios waren mal vor Jahren interessant aber heute werden damit anderen Mechanismen völlig ausser Acht gelassen was die Leistungsfähigkeiten und ein Vergleich völlig verzerrt.

[markusg]

so lange es signaturen gibt, muss sich symantec auch diese art von tests gefallen lassen, die gehören nun mal zum produkt was sie verkaufen wollen dazu.

[Gast_Solaris_*]

Und hoffentlich kommt das auch bald ausser Mode weil solche Testszenarios waren mal vor Jahren interessant aber heute [...]

Hi!

Ich bin im Grunde genommen zwar Deiner Meinung, dass es zusätzlich auch anderen Tests bedarf. Aber zu sagen, dass On-Demand-Tests aus der Mode gekommen sind oder eventuell nicht mehr wichtig seien, halte ich für falsch.

Wenn ich mit meinem Laptop beruflich unterwegs bin, lade ich mir keine Dateien aus dem Internet herunter, sondern schließe 5-10 USB-Sticks, externe Festplatten oder andere Datenträger an.
Da helfen mir Link-Checker, Download-Cload-Geschichten etc. nicht wirklich weiter. Und wenn da das AV patzt, habe ich Pech. Da hilft die brain.exe auch nicht mehr weiter.

Gruß,
Solaris

[Voyager]

Niemand hat gesagt das die eine Testmethode der OnDemand Scan gänzlich weggelassen werden soll , von daher verstehe ich garnicht was ihr hier versucht zu sagen ?
Gehts nur ums wiedersprechen ?

[Gast_Solaris_*]

Gehts nur ums wiedersprechen ?

Mir zumindest nicht
Ich finde die Entwicklung einfach nur gefährlich. Trend Micro geht auch in diese Richtung: URLS blocken, Downloads per Cloud abfangen. Aber das betrifft ja wirklich nur eine Infektionsquelle, die Signaturen dürfen imo nicht vernachlässigt werden. Von daher hoffe ich persönlich, dass On-Demand-Tests nicht außer Mode kommen.

Gruß,
Solaris

[dragonmale]

Hallo Solaris,
aber eben mit Deiner

Wenn ich mit meinem Laptop beruflich unterwegs bin, lade ich mir keine Dateien aus dem Internet herunter, sondern schließe 5-10 USB-Sticks, externe Festplatten oder andere Datenträger an.
Da helfen mir Link-Checker, Download-Cload-Geschichten etc. nicht wirklich weiter.

Begründung argumentierst Du doch am Sinn dessen vorbei, was Du im Gegensatz dazu anscheinend, mit Deiner Aussage, begründen wolltest.
Sicherlich helfen Dir, bei dem geschilderten Szenario, keine Cloud- oder Link-Scanner etc weiter, aber andere Mechanismen schon und eben diese werden auch bei einem reinen On-Demand-Scan nicht berücksichtigt -> Lassen wir jetzt mal die eventuell sowieso schon andere reine AV-Erkennung, beim Ausführen von Dateien, mal außer acht, so haben viele moderne AV’s u.a. auch Module zur Verhaltensanalyse mit an Bord und gerade diese sollten bei dem, von Dir genannten, Szenario doch greifen, bzw. ins Spiel kommen -> Meinst Du nicht auch?

Und wenn da das AV patzt, habe ich Pech. Da hilft die brain.exe auch nicht mehr weiter.

Einspruch -> Natürlich könnte der Einsatz von Brain hier weiterhelfen, denn es besteht schon ein großer Unterschied, zwischen Usern, welche sich nur auf ihr AV (z.B.) verlassen (damit bist nicht Du persönlich gemeint) und denen, welche ihre Systeme, schon im Vorfeld, entsprechend sicher konfigurieren, so dass gerade solche Szenarien, wie Du sie schilderst, nicht mehr ein so großes Risiko darstellen (können) … wobei natürlich ein Rest-Risiko niemals ausgeschlossen werden kann

[Gast_Solaris_*]

[...] so haben viele moderne AV’s u.a. auch Module zur Verhaltensanalyse mit an Bord und gerade diese sollten bei dem, von Dir genannten, Szenario doch greifen, bzw. ins Spiel kommen -> Meinst Du nicht auch?

Natürlich, das sollte ja mittlerweile schon zur Standard-Ausrüstung gehören . Diese Technologien sind unabdingbar, sind aber nicht das, was ich hier meinte. Im Dynamik-Test von AV-C wurden die z.B. auch nicht mitgetestet.
Das gehört für mich alles zum On-demand-/On-execution-Gedönsel mit dazu. Vor allem, weil viele Verhaltensblocker mit Signaturen zusammenhängen.
Aber genau das könnte an Qualität nachlassen, wenn sich Unternehmen (und das meine ich jetzt ganz allgemein) jetzt zu sehr auf ihre Internet-/Download-Cloud versteifen.

[...] und denen, welche ihre Systeme, schon im Vorfeld, entsprechend sicher konfigurieren, so dass gerade solche Szenarien, wie Du sie schilderst, nicht mehr ein so großes Risiko darstellen (können) … [...]

Seitdem ich hier in Chile u.a. auch viel im Außendienst unterwegs bin, musste ich mich hunderte Male nur auf mein AV verlassen. Da kommen Dateien aus jedem letzten Winkel der Provinz, von Übersee über tausend Umwege, Hände und PC´s. So viele infizierte Stick habe ich noch nie in meinem Leben zuvor gesehen. Das ist beinahe eine 50%-Quote hier. Wenn ich also diese ganzen Dateien von Kollegen öffnen muss (Datenbanken, Office, Systemanwendungen etc.) kann ich noch ein so aktuelles System haben. Wenn die infiziert sind und mein AV patzt, habe ich Pech. Ich kann nicht von überall oder bei jedem Mal die Dinger zu VT hochladen. Und ein HIPS bringt mir nichts, weil ich ja diese Dateien installieren muss/möchte/will .

Gruß,
Solaris

[dragonmale]

[...]So viele infizierte Stick habe ich noch nie in meinem Leben zuvor gesehen. Das ist beinahe eine 50%-Quote hier.

Ich kenne das, denn ich habe auch des Öfteren in dieser Region zu tun ...

Wenn ich also diese ganzen Dateien von Kollegen öffnen muss (Datenbanken, Office, Systemanwendungen etc.) kann ich noch ein so aktuelles System haben. Wenn die infiziert sind und mein AV patzt, habe ich Pech. Ich kann nicht von überall oder bei jedem Mal die Dinger zu VT hochladen. Und ein HIPS bringt mir nichts, weil ich ja diese Dateien installieren muss/möchte/will .

Nun ja, ein aktuelles System ist das Eine -> aber das meinte ich eigentlich nicht, denn wenn ein Rechner entsprechend vernünftig Administriert wird (Stichwort GPO etc) , dann spielt es kaum eine Rolle, ob ein System wirklich aktuell ist, oder nicht -> bei Conficker konnte man dies z.B. sehr gut zu beobachten, denn in ordentlich administrierte Rechner/Netzwerke konnte Conficker z.B. nicht via USB-Stick eindringen …
Was das Ausführen von infizierten Dateien und Datenbanken und die Vermeidung eventueller Schäden am System etc anbelangt, so kann ein vernünftiger Sys-Admin hier schon einiges entsprechend einrichten -> vielleicht einfach mal den entsprechenden Sys-Admin, der Firma, für die Du arbeitest, mal daraufhin ansprechen ...

[Gast_Solaris_*]

@dragonmale

Vielleicht sollte ich das wirklich machen. Vielen Dank für den Denkanstoss

[IBK]

Im Dynamik-Test von AV-C wurden die z.B. auch nicht mitgetestet.

bitte genauer erklären, ich versteh nicht was du meinst. verhaltensanalyse wurde mit berücksichtigt.

[Gast_Solaris_*]

bitte genauer erklären, ich versteh nicht was du meinst. verhaltensanalyse wurde mit berücksichtigt.

Ich meinte einen On-execution-Test der nicht erkannten Samples im Anschluss. Oder wurde der gemacht? Dann habe ich das damals überlesen.