500 Malwaresamples zum selbertesten Einstellungen

[dragonmale]

[...] da ich denke bzw. glaube dass es anders abscheniden wird als a-squared ant malware.

Ich bin jetzt zwar nicht hundert Pro sicher, aber On-Demand sollte das Ergebnis eigentlich gleich sein ...

[FreeBSDler]

Ich habe irgendwo, irgendwann mal einen Testbericht gesehen wo a-squared pro weit vor OA++ stand, deswegen meine Vermutung. Dabei ging es, wie auch anders, um die Erkennung...

Ich bin jetzt zwar nicht hundert Pro sicher, aber On-Demand sollte das Ergebnis eigentlich gleich sein ...

[dragonmale]

Ich habe irgendwo, irgendwann mal einen Testbericht gesehen wo a-squared pro weit vor OA++ stand, deswegen meine Vermutung.

Nun ja, dies wird vermutlich aber andere Gründe gehabt haben, denn bis vor kurzem hatte OA ++ ja noch eine doch schon etwas betagtere Kaspersky-Engine unter der Haube ...

[FreeBSDler]

Stimm ja, richtig, da war mal eine andere AV Engine drinne. Hatte ich doch glatt vergessen.

Ich muss mal nachschauen ob ich diesen besagten Test nochmal finde, um dann anhand des Datums raus zu finden
ob da noch Kaspersky werkelte.

Obwohl, AFAIR stand dort ganz deutlich Tallemu OA++ .
Als in OA noch der Kasper steckte hiess das doch OA V+ , oder irre ich ?

Nun ja, dies wird vermutlich aber andere Gründe gehabt haben, denn bis vor kurzem hatte OA ++ ja noch eine doch schon etwas betagtere Kaspersky-Engine unter der Haube ...

[Varock]

OA++ hinterlässt 395 Dateien. Naja, es ist in Kombination mit A-Sqaured gedacht und nicht als Stand Alone scanner. Wobei hier die Ikarus Engine eingebaut ist.

[dragonmale]

Hallo Varock,

OA++ hinterlässt 395 Dateien.

dann musst Du irgendetwas falsch gemacht haben, denn bei mir lässt OA++aktuell nur 27 Dateien übrig. Bei a-squared bleiben aktuell 22 Dateien übrig. Woher dieser Unterschied kommt -> keine Ahnung. Zwei der fünf Dateien, welche a-squared mehr als OA++ erkennt, werden mir A2-Sigs (von a-squared) erkannt und die anderen drei (sind PDF-Dateien) werden mit IK-Sigs (von a-squared) erkannt. Wer weiß, vielleicht hinkt ja auch nur der Update-Server hinterher ... mir fehlt jetzt aber die Zeit, dem nachzugehen ...

Meine vom Standard abweichenden OA++ Einstellungen:
- Scan Methode -> Vollständig
- Heuristische Erkennung -> aktiviert

OA++ hat ja für das AV-Modul wirklich nur rudimentäre Einstellungsmöglichkeiten ... und alle Funde markieren (was das Teil auch angeblich macht) und Löschen, klappt hier auch nicht. Anschließend ist das Fenster zwar leer, aber nicht alles gelöscht -> ich musste also jede Datei einzeln Löschen lassen

Naja, es ist in Kombination mit A-Sqaured gedacht und nicht als Stand Alone scanner. Wobei hier die Ikarus Engine eingebaut ist.

OA++ enthält die selbe Doppel-Scanengine wie a-squared -> siehe Tallemu -> inwiefern diese auch immer aktuell ist, bzw. den selben Stand wie bei a-squared hat, weiß ich nicht.
OA++ ist mitnichten als Kombination zu a-squared (was auch irgendwo etwas unsinnig wäre ) gedacht, sondern es ist ebenso wie a-squared auch als Standalone-Produkt einsetzbar ...

Der Beitrag wurde von dragonmale bearbeitet: 09.02.2010, 20:26

[Varock]

Ah, ich hatte vergessen zu Updaten. Dachte er macht es alleine. ^^
Er hinterlässt nun 25 Dateien.

Danach habe ich mit A-Sqaured und mit Avast gescannt und nun sind nur noch 12 Dateien übrig geblieben.

Der Beitrag wurde von Varock bearbeitet: 09.02.2010, 21:58

[FreeBSDler]

@Varock

Hast du nun OA++ mit dem aktuellen Avast am laufen ??

Wenn ja, irgendwelche Schwierigkeiten, oder wie löppt das denn zusammen ?

Ah, ich hatte vergessen zu Updaten. Dachte er macht es alleine. ^^
Er hinterlässt nun 25 Dateien.

Danach habe ich mit A-Sqaured und mit Avast gescannt und nun sind nur noch 12 Dateien übrig geblieben.

[Varock]

Ich habe auf meiner VM Avast Free + A-Sqaured + OA ++ installiert.
Bisher läufts wie am schnürrchen. ^^
Nur du solltest am besten erst Avast Free und danach A-Squared und zum Schluss OA ++ installieren. Sonst gibt es etwas viel rumgeklicke. xDD
Aber bisher, bin ich mit der Kombination sehr zufrieden.

Der Beitrag wurde von Varock bearbeitet: 10.02.2010, 07:48

[Julian]

Wieder 500 neue Samples:
AntiVir: 47
Avast: 74
Comodo 4 RC: 89
AVG: 99
Comodo 3: 104
Kaspersky: 131
MSE: 155

Kaspersky ziemlich mies...
Comodo 4 vergleichsweise

[Catweazle]

Und wo hast die her ?

Kannst, es ja noch mal mit The Cleaner, und Trojanhunter5 versuchen.

Catweazle

[markus17]

Darf ich wieder G Data über die Samples lassen?

[Gast_Solaris_*]

@Julian

Danke für Deine Tests!
Deine zuletzt geposteten Zahlen von Comdodo machen mich langsam wirklich neugierig auf die neue Version
Im Bezug auf Kaspersky wird mal wieder schön deutlich, dass es tatsächlich meist auf die Samples ankommt. Außer die Menge ist so groß, dass sich vieles wieder relativiert.

Gruß,
Basti

[Garfield58]

Vielen Dank an Julian für das neue Sample. Ich habe ESET Nod 32 Version 4.2 Beta auf dem PC. Nod erkennt 390 Samples

Der Beitrag wurde von Garfield58 bearbeitet: 18.02.2010, 12:24

[Voyager]

@Julian

Kannste mir gern per PM geben.

Edit: Danke fürs Testen der Samples

Bei Norton bleibt 107 Rest ... von 500.

Wer jetzt mehr als 107 hat , zb, über 190 Restdateien der übersieht hier das sehr viele reparierte Dateien dabei sind. Die neueste Datei im 7z Archiv ist von 17.2. 18:33Uhr , alles was neuer ist hat Norton jetzt repariert und diese müssen gelöscht werden.

Der Beitrag wurde von Voyager bearbeitet: 18.02.2010, 13:15

[SLE]

Comodo 4 vergleichsweise

Wieviel waren heuristische Funde ? Ich habe Comodo 4 RC jetzt auch mal wieder in einer VM installiert - zumindest bei mittlerer Heuristik ist die FP-Rate noch immer erschreckend hoch! (z.B. Heuristik.unknown.Packer - alleine 28 Funde in einer alten TuneUp 2008 Installation)

Nod erkennt 390 Samples

Warum ? 110 bleiben übrig

Der Beitrag wurde von SebastianLE bearbeitet: 18.02.2010, 13:20

[markusg]

kann mir jemand die samples hochladen?
www.file-upload.net
und mir den link per pm schicken, danke.

[Julian]

über 190 Restdateien der übersieht hier das sehr viele reparierte Dateien dabei sind.

Stimmt, man muss darauf achten, dass man desinfizierte Dateien nicht mitzählt.
Leider ist es z.B. bei AVG nicht klar ersichtlich, ob er desinfiziert oder löscht, denn die einzige Aktion, die er im GUI anbietet, heißt löschen. Bei Viren desinfiziert er dann aber...

@Sebastian: Bis auf KAV sind alle AVs in Standardeinstellungen, damit die Ergebnisse halbwegs vergleichbar sind. Ich würde bei Comodo auch nicht die Heuristik aufdrehen, denn mittlerweile scheint das erkennungsmäßig auch nicht mehr viel zu bringen, sie ist auch auf niedrig ganz gut (53 durch sie erkannt, auf hoch + 6). Die FPs sind auch weniger geworden. Immer noch zu hoch, aber immerhin. Auch schwierig, was man unter Heuristik definiert, denn es wurden mit Sicherheit viele Samples auch durch generischen Signaturen erkannt.

@Catweazle: Hauptsächlich aus dem MB-Forum. Wie immer.

@Solaris: Vielleicht schneidet Kaspersky auch so schlecht ab, weil die Samples diesmal vermutlich neuer sind und weniger lange hin- und herversendet wurden.

[SLE]

@Sebastian: ... Ich würde bei Comodo auch nicht die Heuristik aufdrehen, denn mittlerweile scheint das erkennungsmäßig auch nicht mehr viel zu bringen, sie ist auch auf niedrig ganz gut (53 durch sie erkannt, auf hoch + 6). Die FPs sind auch weniger geworden. Immer noch zu hoch, aber immerhin. Auch schwierig, was man unter Heuristik definiert, denn es wurden mit Sicherheit viele Samples auch durch generischen Signaturen erkannt.
...

Danke! Ich werde mal noch ein paar Tests mit CIS 4 machen - aber ich war ehrlich gesagt erschrocken über die vielen FPs in einer VM in der nur wenige Programme installiert sind - die dazu noch enorm bekannt sind. Solch eine Heuristik würde ich nicht als "gut" bezeichnen, aber ich teste mal weiter.

[Julian]

aber ich war ehrlich gesagt erschrocken über die vielen FPs in einer VM in der nur wenige Programme installiert sind - die dazu noch enorm bekannt sind. Solch eine Heuristik würde ich nicht als "gut" bezeichnen, aber ich teste mal weiter.

Traten die FPs in Standardeinstellungen auf?

Btw: Eine Heuristik, die sich 30 Sekunden Zeit lässt, würde auch auch nicht unbedingt als gut bezeichnen.