Vergleich AV-Reaktionszeiten Sober.p Einstellungen

[Gast_Faith_*]

bei pc-welt gefunden:

Erkennung ohne aktuelles Update:

Antivir

Worm/Sober.gen

Dr. Web

BACKDOOR.Trojan (probably)

Esafe

Trojan/Worm (suspicious)

McAfee

W32/Sober.gen@MM

Quickheal

Suspicious (warning)

Erkennung mit regulären Updates:

Erkennung mit regulären Updates

- Im Antivirus-Testlabor der AV-Test GmbH werden routinemäßig die Reaktionszeiten der Antivirus-Hersteller geprüft. Im Abstand von wenigen Minuten werden die Download-Server automatisch nach neuen Updates durchsucht. Sie werden herunter geladen und und die damit aktualisierten Programme gegen die neuesten Schädlinge getestet.

Die Programmdatei des am Montag aufgetauchten Sober-Wurms wurde um 16:00 Uhr erstellt und war mutmaßlich wenig später im Umlauf. Auf Basis dieser Annahme dauerte es ungefähr zweieinhalb Stunden, bis die ersten Virenscanner den Wurm mit regulären, also von der Qualitätssicherung des Herstellers abgesegneten Updates erkennen konnten. Im Vorteil waren Kunden von McAfee und Benutzer von Antivir, denn die Antivirus-Lösungen beider Hersteller erkannten den Sober-Wurm als solchen, ohne dass ein neues Update installiert war. Drei weitere Produkte fanden die Datei zumindest verdächtig genug, um eine Warnmeldung anzuzeigen.

Bei den Virenscannern, die nicht ohne Update auskamen, war der Open-Source-Scanner Clam-AV einen Tick schneller als Kaspersky Labs. Der dritte Platz ging an F-Prot aus Island, noch vor Gdatas AVK, das mit der Technik von Kaspersky (KAV) arbeitet. Gdata muss die Updates jedoch erstmal aus Russland holen und dann auf den eigenen Update-Servern bereit stellen. Von den Herstellern mit großem Marktanteil brauchte Symantec dieses Mal die meiste Zeit, bis ein für alle Kunden verfügbares Update zur Verfügung stand. Bis auf Reliable Antivirus (RAV) des von Microsoft übernommenen rumänischen Herstellers Gecad boten alle anderen Produkte noch vor Mitternacht unserer Zeit Schutz vor dem neuen Schädling - vorausgesetzt, die Updates wurden auch installiert.

Der Beitrag wurde von Faith bearbeitet: 06.05.2005, 11:32

[christophs]

Danke sehr für den link!

[Internetfan1971]

Hallo!

Symantec
03.05.2005
03:38
W32.Sober.O@mm

Also meines Wissens nach ist dies Unsinn!

Siehe auch die Beiträge vom 02.05!

http://www.rokop-security.de/index.php?showtopic=8161&st=0

Es hat am 02.05. ein Live-Update gegeben! Eventuell ja Beta-Status, dürfte aber ziemlich egal sein. Erkannt ist erkannt!

Virus Definitions (LiveUpdate™) **
May 02, 2005

Revision History:


May 3, 2005: Added product advisories.
May 2, 2005:
Added link to removal tool.
Updated technical details and removal instructions with information pertaining to LiveUpdate files.

http://securityresponse.symantec.com/avcen...sober.o@mm.html

Meiner Meinung nach hat sich hier http://www.av-test.org/ einen groben Schitzer erlaubt bzw. schreibt PC Welt einfach Mist!

[Voyager]

genauso war es auch....es gab am vorabend noch signaturupdates mit höherer dringlichkeit , oder auch betaupdates genannt.
mann hätte nurmal am 2.5.2005 die webseite mit der sober.o -erkennung auf symantec aufrufen brauchen, da stand es explizit auch noch da . wenn dann neue updates raus sind wird meist die webseite wieder geändert und der status betasignaturen auf der webseite wieder entfernt.

[diddsen]

wär jetzt interessant, ob nod ohne update erkannte

[SkeeveDCD]

Ja, NOD32 hat den Sober ohne Signatur erkannt.

BTW, die Beta-Updates von Symantec sind ohne extra Aufwand des Users nicht ohne weiteres verfügbar. Ich finde es korrekt, wenn nur die frei verfügbaren Signaturen getestet werden. Die anderen AV-Firmen schaffen es schliesslich ja auch, Signaturen ohne Betas schnell herauszugeben. Vielleicht sollte sich Symantec mal ein bisschen mehr anstrengen mit der QA?

[Voyager]

BTW, die Beta-Updates von Symantec sind ohne extra Aufwand des Users nicht ohne weiteres verfügbar.

woher weisst du das?
ich kann jedenfalls bestätigen das signaturupdates nach der herrausgabe des outbreak-alarms an die endprogramme über liveupdate verfügbar waren .
anders rum geht es ja sowieso nicht , weil Norton2005 nach empfang einer outbreak-alertmeldung automatisch signaturen holt und wenn auf einmal alle NAV2005 programme eine unprotected meldung ausgeben würden hätten wir schon längst davon erfahren.
die outbreakmeldung gab es 100pro am späteren abend des 2.5. (weil ich das popup dazu im tray gesehen hab!) und zu dem zeitpunkt gab es nur diese betasignaturen mit höherer dringlichkeit blabla...ergo , es geht ohne extra aufwand des user.