Ergänzende AV-Produkte, Welches? Wieso? Vorteile/Nachteile? Einstellungen

[Solution-Design]

@ube

Kann man so stehen lassen.

Edit: Vielleicht hilft ja solch ein Experiment, bei der Auswahl http://www.rokop-security.de/index.php?s=&...st&p=275066

Der Beitrag wurde von Solution-Design bearbeitet: 22.05.2009, 22:32

[M.Richter]

Hallo zusammen,

ich möchte meine Umfrage nochmal aufgreifen, aber aus folgendem Grund, @ Solution-Design, Voyager und Nightwatch, ich habe jetzt viel im Forum gelesen und mir ist aufgefallen, dass gerade Ihr viel mit euren eigenen Malware-Samples diverse AV-Programme wie A2-AM , Vipre, Prevx, Antibot usw. testet, könnt Ihr nicht mal den Viruskeeper 2009 Pro mit euren Samples testen? Würde mich schon interessieren wie er momentan so abschneidet, wenn Malware ausgeführt wird. Vielen Dank schon mal im vorraus. Solltet Ihr natürlich keine Zeit oder Lust zu haben, würde ich dass auch verstehen. Wäre aber glaube schon mal ganz interessant.

Schönen Gruß

Matthias

[Gast_Nightwatch_*]

[...] könnt Ihr nicht mal den Viruskeeper 2009 Pro mit euren Samples testen? Würde mich schon interessieren wie er momentan so abschneidet, wenn Malware ausgeführt wird.

Hallo Matthias
Sry, irgendwie ist Dein Post an mir vorbeigegangen. Vielleicht finde ich diese Woche Zeit für einen kleinen Test. Die Ergebnisse sind (wie immer) aber keineswegs repräsentativ noch professionell.

Gruß,
Nightwatch

[Gast_ravu_*]

Antibot - weil es den PC nicht ausbremst

Der Beitrag wurde von ravu bearbeitet: 02.06.2009, 06:17

[M.Richter]

Hallo Matthias
Sry, irgendwie ist Dein Post an mir vorbeigegangen. Vielleicht finde ich diese Woche Zeit für einen kleinen Test. Die Ergebnisse sind (wie immer) aber keineswegs repräsentativ noch professionell.

Gruß,
Nightwatch

Hi Nightwatch... vielen Dank, ich bin einfach mal gespannt.

Schönen Gruß

Matthias

[Gast_Nightwatch_*]

Hier ist er nun: Mein Kurztest von Viruskeeper Pro 2009.

Ich habe den Test in zwei Hälften eingeteilt.

1.) On-Demand-Erkennung anhand von 556 ausgewählten Samples, die allesamt in den letzten 3-4 Wochen von mir gesammelt worden. Es handelt sich hierbei um ein Testset aus Rootkits, Backdoors, Virut-Samples, Kill-Disk-Viren, Exploits und wenigen Rogue-Samples.
2.) On-Execution-Erkennung von ausgewählten Samples der letzten Wochen.

Fangen wir mit Punkt 1 an.
___________________
Zunächst ein Blick auf den angelegte Malware-Ordner:


Ich habe die Default-Einstellungen genommen und einen Scan des Ordners angestoßen:


Sehr unschön und lästig sind die einzelnen Warnfenster bei jedem Fund, die man manuell wegklicken muss:


Allerdings noch gravierender sind die Abstürze des Scan-Moduls während des Scan- und Bereinigungs-Prozesses:


Das Scan-Modul hängt sich auf und muss neugestartet werden. Danach läuft es wieder eine kurze Zeit, bis es sich erneut verabschiedet. Mir ist das beim scannen und bereinigen des Ordners insgesamt 3x passiert.
Kommen wir nun zum Endresultat.

Die nächste Übersicht zeigt schön, dass Viruskeeper 2009 Pro genau 339 Samples im Ordner übrig lässt:

Wenn wir das nun zusammenrechnen, kommen wir auf eine Erkennungsrate von genau 39,03 % !
___________________

Weiter geht´s zum On-Execution-Test.
Das sind die von mir verwendeten Einstellungen (auch Default):


Und das sind die Samples, mit denen ich getestet habe:

Hierbei handelt es sich zum Beispiel um ein TSS-Rootkit. Nicht schön, dass es sich vollständig installieren darf:

Ich werde nicht alle Samples präsentieren...aber der PC ist maßlos verseucht. Es lässt sich alles installieren. Unglaublich:

Nur mal ein Vergleich zu Prevx, welches sich trotz ausgeschaltetem System-Monitoring meldet:

Das einzige, was Viruskeeper einmal angezweifelt hat, war dieses:

Nach der Bereinigung dieses Schlüssels vermeldete es einen sicheren System-Status.

Nunja, also ganz so berauschend war das Ganze wohl nicht. Ich gehe jetzt erstmal meine VM retten und hoffe, dass dieser kleine Test nicht zu klein war

Liebe Grüße,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 04.06.2009, 13:17

[Gast_teddy247_*]

schöner test

da ist man mit dem windows defender eigenständig ja besser dran. dieser virus keeper klingt und sieht aus wie ein rogue

[Voyager]

@Nightwatch

Hierbei handelt es sich zum Beispiel um ein TSS-Rootkit. Nicht schön, dass es sich vollständig installieren darf:

Das sind Show-Installationsfenster die nur als Ablenkung dienen , Sie installieren Nichts . Die eigentliche Malware wird im Hintergrund installiert direkt nachdem du das Objekt angeklickt hast , du kannst das Showfenster dann direkt wieder schliessen, die Malware ist dann schon drauf.

Der Beitrag wurde von Voyager bearbeitet: 04.06.2009, 13:44

[Gast_Nightwatch_*]

Die eigentliche Malware wird im Hintergrund installiert direkt nachdem du das Objekt angeklickt hast , du kannst das Showfenster dann direkt wieder schliessen, die Malware ist dann schon drauf.

Jo. Du hast recht. Egal wie, zumindest wird es nicht geblockt.

Gruß,
Nightwatch

[M.Richter]

@Nightwatch ... vielen Dank für den Test. Finde ist doch schon sehr repräsentativ dein Test. Ist wirklich unglaublich! Hätte ich nicht gedacht. Dachte mittlerweile hat der Viruskeeper sich gut entwickelt, da auch auf der Homepage geworben wird das er in vielen französischen Firmen, sowie auch Weltweit in Unternehmen zum Einsatz kommt. Der On-Demand-Test hat mich nicht weiter überrascht, das war zu erwarten (obwohl er ja bei dem SSupdater test über 90% hatte) ... aber was wirklich schockiert ist der ON-Execution-Test. Es wird so sehr geworben auf der Homepage mit neuesten schutztechnologien usw. und in deinem Test hat er ja so gut wie gar nicht angeschlagen ... finde das kommt dann doch schon Richtung "rogue" , was ich dann aber nicht verstehen kann, wieso der Viruskeeper überall wie z.B. bei PCWelt usw angeboten wird!?

Zusammenfassend habe ich mittlerweile mehr vom Viruskeeper erwartet, aber das Ergebniss war sehr ernüchternd. Vielen Dank nochmal für die mühen an dich Nightwatch. Schönen Gruß

Matthias

[Gast_Nightwatch_*]

Finde ist doch schon sehr repräsentativ dein Test. Ist wirklich unglaublich! Hätte ich nicht gedacht.

Hi
Habe ich gern gemacht. Es ist immer interessant Programme unter die Lupe zu nehmen, die nicht so weit verbreitet sind. Wenn man aber allein schon meine Sample-Mengen betrachtet, kann der Test natürlich nicht repräsentativ sein. Für den On-Demand-Scan müsste die Anzahl bei mindestens > 150.000 liegen, On-Execution bei mindestens 100 (aus unterschiedlichen Familien). Aber einen kleinen Eindruck kann es eventuell schon geben.

[...] finde das kommt dann doch schon Richtung "rogue" , was ich dann aber nicht verstehen kann, wieso der Viruskeeper überall wie z.B. bei PCWelt usw angeboten wird!?

Viruskeeper ist sicherlich kein Rogue-Programm. Es ist wohl einfach nur noch nicht so weit, wie es selbst betitelt. Ich würde es zur Zeit jedenfalls nicht benutzen wollen. Mal schauen, wie sich das noch entwickelt.

Gruß,
Nightwatch

[M.Richter]

Hi
Habe ich gern gemacht. Es ist immer interessant Programme unter die Lupe zu nehmen, die nicht so weit verbreitet sind. Wenn man aber allein schon meine Sample-Mengen betrachtet, kann der Test natürlich nicht repräsentativ sein. Für den On-Demand-Scan müsste die Anzahl bei mindestens > 150.000 liegen, On-Execution bei mindestens 100 (aus unterschiedlichen Familien). Aber einen kleinen Eindruck kann es eventuell schon geben.


Viruskeeper ist sicherlich kein Rogue-Programm. Es ist wohl einfach nur noch nicht so weit, wie es selbst betitelt. Ich würde es zur Zeit jedenfalls nicht benutzen wollen. Mal schauen, wie sich das noch entwickelt.

Gruß,
Nightwatch

Stimmt, hast du schon recht, sehe ich auch so, meinte mit repräsentativ, nicht unbedingt die Aussagekraft des Testes (auf Grund der Größe der Malwaresamples), sondern die gute Anschaulichkeit und dass du beide Wege getestet hast,also ON-Demand als auch ON-Execution,welches ich immer viel spannender finde!

Ich meine Viruskeeper gibt es jetzt aber schon seit 2005 für den privaten Gebrauch und auf der Homepage habe ich auch irgendwo gelesen, dass das Team seit 12 Jahren mit mehren Unternehmen an der Entwicklung dieses Programmes dran ist. Deswegen hatte ich ja mittlerweile mehr erwartet, aber du hast schon recht, es ist anscheinend noch nicht soweit wie es sich selbst betitelt... mal abwarten und in Beobachtung lassen. Vielleicht bringt die 2010er Version schon wieder ganz andere Ergebnisse

Schönen Gruß

Matthias