500 Malwaresamples zum selbertesten Einstellungen

[IBK]

vielleicht verwechselt du den whole-product-dynamic test mit den retrospective test (im retrospective test wird nichts ausgeführt, da es etwas anderes misst)

[Gast_Solaris_*]

vielleicht verwechselt du den whole-product-dynamic test mit den retrospective test

Ups, ja so ist es. Sorry, ich nehme alles zurück .

Ihr habt aber zum Jahresende auch wirklich viel zu viele Tests veröffentlicht, da kam man ja gar nicht mehr hinterher
Just kidding

[Julian]

~500 neue Samples. Sieben waren bereits im alten Testset, aber bei der Menge ist das IMO nicht relevant, außerdem sind sie immer noch eine Gefahr, da sie nach wie vor downloadbar sind bzw. waren.
KAV erkennt keines der Samples als Riskware sondern alle als schädlich. Keine Samples doppelt. Gedownloaded von MDL und MB-Forum.

So viele Dateien blieben übrig:
AntiVir: 49
KAV: 50
Comodo: 86
Avast: 98
AVG: 101
MSE: 126

Das Microsoft-AV scheint ziemlicher Müll zu sein, es brauchte auch quälend lange zum Scannen und Löschen.
Wenn man schon Avast oder AVG in Erwägung zieht, sollte man das vielleicht mit dem Comodo-AV auch tun und dieses nicht mehr als unbekannt oder schrott ausschließen.

Wer Interesse hat, PM.

[Voyager]

Kannste mir gern per PM geben.

[Gast_Solaris_*]

Danke, Julian

Avast Pro 5 unter max. Einstellungen:


97 Dateien bleiben übrig. Also nur eine Abweichung von einem Sample.


Der Beitrag wurde von Solaris bearbeitet: 07.02.2010, 21:24

[markus17]

G Data hinterlässt 81 Samples nach einem Scan.

[Varock]

134 blieben nach einem on-demond scan unerkannt.
Nach der ausführung blieben 105 unerkannt.
Wobei ich die .pdf dateien nicht geöffnet habe, da ich auf meiner VM kein Adobe Reader installiert habe.



Kann es sein das vielleicht Dateien doch doppelt sind?



Der Beitrag wurde von Varock bearbeitet: 08.02.2010, 00:25

[Voyager]

@Varock

Du hast das ungenügend geprüft , du hättest erst einmal die 4 Risiken löschen lassen müssen , dann hätte dich Norton nach der Schliessung des Scanfenster aufgefordert den PC zu rebooten. Vorher exportierst du noch das Scanlog.
Nach dem Reboot bemerkst du anhand des Zeiteintrag der Dateien das 3 Risiken "verändert" worden sind , 2 davon wurden laut Log repariert , diese gilt es von Hand zu löschen. Das dritte veränderte Risiko ist eine ZIP SFX aus dieser viele Risiken gelöscht wurden und noch ein Verbleibendes übrig bleibt , die ZIP SFX bleibt also und wird nicht gelöscht.

Jetzt verbleiben im Ordner noch 126 Dateien und keine 134.

Der Beitrag wurde von Voyager bearbeitet: 08.02.2010, 01:11

[dragonmale]

~500 neue Samples [...]

Hier die On-Demand Scan-Ergebnisse von McAfee VSE und a-squared:

McAfee VSE 8.7 (Artemis auf max.) = 93 Samples übrig

a-squared Anti-Malware (mit Heuristik-Scan) = 38 Samples übrig

edit: etwas ergänzt

Der Beitrag wurde von dragonmale bearbeitet: 08.02.2010, 01:28

[Varock]

@Voyager:
Ich hatte es reparieren lassen und rebootet, nur ich wusste nicht das ich per Hand noch Dateien löschen muss.
Aber schade finde ich, dass nach ausführung trotzdem noch so viel übrig blieb...

Der Beitrag wurde von Varock bearbeitet: 08.02.2010, 09:25

[dragonmale]

@Varock,
Ich bin mir jetzt nicht sicher, ob ich Dich richtig verstehe, daher frage ich zum besseren Verständnis lieber noch einmal nach -> Hast Du die 134 nicht erkannten Samples, wirklich hintereinander weg ausgeführt, ohne zwischendurch den vorhergehenden (sauberen) Systemzustand wiederherzustellen? Also auch selbst dann nicht, wenn eine Sample, vom Guard, nicht erkannt wurde?
Wenn dem wirklich so sein sollte, ist Dein Ergebnis, hinsichtlich der Erkennung, bei Ausführung, eigentlich wertlos.
Jetzt mal von professionellen Testern abgesehen, welche ja wahrscheinlich generell nach jedem ausgeführten Sample, das System wieder zurücksetzen werden, sollte man doch auch als Hobby-Tester, zumindest mal nach einem nicht erkannten Sample, sein Test-System wenigstens wieder (sauber) zurücksetzen. Schließlich wurde ja Schadcode nicht erkannt und insofern gilt das System als (wahrscheinlich) infiziert/kompromittiert. Was z.B. bedeuten kann, dass aktive Schadprogramme versuchen sich (und dadurch eventuell auch neu hinzukommende) entsprechend zu tarnen (um nicht erkannt zu werden), oder das AV-Programm entsprechend ... sagen wir mal blenden, so dass es (das AV) zwar noch aktiv scheint, aber vom Prinzip her blind ist ... usw .... Es sei denn, man hat kein Interesse an einem sauberen Ergebnis (was ich Dir damit natürlich nicht unterstellen will) -> aber dann kann man es auch gleich lassen

edit: etwas ergänzt

Der Beitrag wurde von dragonmale bearbeitet: 08.02.2010, 10:25

[Varock]

Ich habe erst einmal den ganzen Ordner gescannt, danach habe ich die restlichen Samples, alle hintereinander ausgeführt ohne den Zustand zu verändern.

Auf die idee das System jedes mal zurückzusetzen wenn ein Sample nicht erkannt wurde, bin ich ehrlich gesagt nicht gekommen. So wie es aussieht werde ich den Test dann nocheinmal durchführen. Ich bin gespannt wie es dann aussieht, danke für den Tipp. ^^

Der Beitrag wurde von Varock bearbeitet: 08.02.2010, 11:13

[Julian]

Kann es sein das vielleicht Dateien doch doppelt sind?

Kann nicht sein, denn der Name einer jeweiligen Datei ist ihr Hashwert. Die Erweiterungen stimmen auch.

Ich habe erst einmal den ganzen Ordner gescannt, danach habe ich die restlichen Samples, alle hintereinander ausgeführt ohne den Zustand zu verändern.

Auf die idee das System jedes mal zurückzusetzen wenn ein Sample nicht erkannt wurde, bin ich ehrlich gesagt nicht gekommen. So wie es aussieht werde ich den Test dann nocheinmal durchführen. Ich bin gespannt wie es dann aussieht, danke für den Tipp. ^^

Solche Tests sollten auf Windows XP 32 Bit gemacht werden, da dort die meiste Malware läuft. Wär aber doch ein Haufen Arbeit, das wär mir zu aufwändig.

Btw: Sample "243763232afe4196a2b9353b741df2955aa59c05.exe" und "f06a0e498a46f762b0f6a025c239d500a7fb0184.exe" sind schrott.

Der Beitrag wurde von Julian bearbeitet: 08.02.2010, 17:50

[Varock]

Hmm, naja ich werde dann jetzt nicht noch weiter mit Norton testen. Beim nächsten mal verwende ich dann XP SP3, aber trotzdem bin ich etwas von Norton enttäuscht.
Als ich bei malwarebytes Forum, ect. durchgewühlt habe und alles geladen habe, hat Norton fast immer angeschlagen. Nur ein einziger ging durch. Naja, kommt ja immer auf die Samples an.

Und danke für die Tipps, ich werde es beim nächsten mal miteinbeziehen. ^^

Der Beitrag wurde von Varock bearbeitet: 08.02.2010, 16:30

[Varock]

Ich habe jetzt einmal mit A-Squared Anti Malware gescannt und da blieben nur 26 Dateien übrig.
Ich habe nun auch Windows XP Sp3 auf meine VM getan. ^^

Große Leistung, auch wenn das meiste von Ikarus war. xD



Der Beitrag wurde von Varock bearbeitet: 08.02.2010, 22:31

[Julian]

Ich habe nun auch Windows XP Sp3 auf meine VM getan. ^^

Mit einer VM kann man wegen Anti-VM Malware auch nicht dynamisch testen.

Das On Demand-Ergebnis von a² kann sich sehen lassen.

[Varock]

Aber woran Emsisoft dringend arbeiten muss ist die Scan dauer. Ich habe sehr lange dafür gebraucht. Ich glaube 2-3 Stunden?!?
Wobei man auch beachten sollte es wurde in einer VM gescanned.

[SLE]

Aber woran Emsisoft dringend arbeiten muss ist die Scan dauer. Ich habe sehr lange dafür gebraucht. Ich glaube 2-3 Stunden?!?
Wobei man auch beachten sollte es wurde in einer VM gescanned.

Das sollte v.a. an der IKARUS Engine liegen, die lahmt etwas.
Generell sieht man hier gut, das auch die Hersteller nicht schlafen: gestern bei Dragonmale hat a2 noch 38 übrig gelassen.

[dragonmale]

Aber woran Emsisoft dringend arbeiten muss ist die Scan dauer. Ich habe sehr lange dafür gebraucht. Ich glaube 2-3 Stunden?!?
Wobei man auch beachten sollte es wurde in einer VM gescanned.

Stimmt, der On-Demand Scan dauert bei asquared schon etwas länger. Allerdings dürfte es bei Dir schätzungsweise doch wohl an der virtuellen Maschine liegen. Laut meinem entsprechenden Scan-Report (Hast Du Deinen nicht abgespeichert?) waren es:

Scan Zeit: 0:08:42

Dazu kommt dann noch der Löschvorgang ... und das Testsystem ist auch nur ein schon etwas älterer Einkern-Pentium 4, mit 2,4 GHz und 2 GB RAM.

Generell sieht man hier gut, das auch die Hersteller nicht schlafen: gestern bei Dragonmale hat a2 noch 38 übrig gelassen.

Stimmt, dies sieht man am Beispiel von a-squared schon mal sehr gut ... da ich gestern aber auch McAfee habe drüber laufen lassen, vielleicht noch einmal kurz etwas zu dessen Ergebnis:

McAfee VSE hatte gestern 93 On-Demand nicht erkannte Samples und heute sind noch 88 übrig .. Ok, kann man sagen "geht so" -> das Interessante ist aber der Unterschied, zwischen lokaler Erkennung (also auf meinem Testsystem) und der Erkennung auf VirusTotal. Ich hatte schon mal fünf nicht erkannten Samples, auf VirusTotal, hochgeladen und darunter waren gleich drei Dateien, welche dort von McAfee Artemis angemeckert wurden.
Heute habe ich das Selbe noch mal mit den ersten drei Dateien, aus dem Ordner, mit den nicht erkannten Samples,

gemacht und gleich zwei davon (die beiden markierten Dateien) wurden bei VirusTotal via Artemis erkannt
Klick1
Klick2

In diesem Zusammenhang noch mal zur Erinnerung -> Entsprechende Programmeinstellungen, für Artmis, stehen hier lokal auf Maximum (Empfindlichkeit = sehr hoch) -> Trotzdem habe ich dieses Phänomen, schon des Öfteren beobachten können ... Sicherlich könnte man jetzt z.B. mit entsprechender Vorsicht und der Vermeidung von FP's, auf Produktiv-Systemen, argumentieren etc. und genau genommen passiert mir Ähnliches natürlich auch manchmal, wenn ich hier lokal noch unerkannte Samples einschicke (was sich natürlich nur auf entsprechende Artemis-Meldungen bezieht und nicht auf noch nicht ausgelieferte Sigs), doch ich möchte es mal so formulieren -> Daran sieht man (wiederum) doch schon sehr gut, welche Bedeutung doch mancher Hersteller anscheinend entsprechenden Diensten (und deren Besuchern) beimessen muss, denn hierbei kommt doch ganz offensichtlich entsprechend frisierte Technik zum Einsatz ...

Gruß dragonmale

edit: Link korrigiert

Der Beitrag wurde von dragonmale bearbeitet: 09.02.2010, 02:19

[FreeBSDler]

Ist dieser Test schonmal mit Online Armor++ gemacht worden ?

Würde mich doch sehr interessieren, da ich denke bzw. glaube dass es anders abscheniden wird als a-squared ant malware.