Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Reaktionszeiten-Thread
Rokop Security > Security > Trojaner, Viren und Würmer
Seiten: 1, 2
Julian
Hallo,
die Frage in der Themenbeschreibung ist ja nun nicht allzu schwer zu beantworten, habe einige Samples an verschiedene AV-Hersteller geschickt und warte nun auf Antworten / Erkennungen.

Avast:
Trojan-Downloader.Win32.Exchanger.adq* -> abgeschickt 15:25 Uhr 30.09
Rückantwort / Erkennung:
ausstehend


AntiVir:
Trojan-Spy.Win32.KeyLogger.bp* -> abgeschickt 15:49 Uhr 30.09
Rückantwort / Erkennung:
Habe 8 Minuten nach Einsendung eine Antwort bekommen, dass es sich um ein FP handelt, obwohl bisher gar keine Erkennung bei AntiVir Free vorhanden war.
Hier das VT-Ergebnis der Datei:
http://www.virustotal.com/de/analisis/e137...446c706e82991cd
Sieht nach einer komplett blödsinnigen Antwort von AntiVir aus, vielleicht ist da aber nur ein kleiner Fehler unterlaufen und die Erkennung wird trotzdem eingepflegt. Werde es zu einem späteren Zeitpunkt noch einmal überprüfen.


Bitdefender:
Trojan-Downloader.Win32.CodecPack.g* -> abgeschickt 16:24 Uhr 30.09
Rückantwort / Erkennung:
ausstehend


AVG:
Trojan-Dropper.Win32.Agent.wnq* -> abgeschickt 16:55 Uhr 30.09
Rückantwort / Erkennung:
ausstehend


NOD verweigert bei mir in der VM das Update, von daher bis jetzt kein Test möglich.

Kaspersky folgt bald.

* = Kasperskyerkennung

Wäre schön, wenn auch andere Leute hier ihre Erfahrungen posten würden, so kann man sich leicht ein Bild über das Einpflegeverhalten der Hersteller machen.
Caimbeul
Für eine wirkliche Vergleichbarkeit hätte man die gleiche Malware zum gleichen Zeitpunkt an die Firmen verschicken müssen.

Außerdem halte ich diesen "Test" nicht für wirklich aussagekräftig. Alleine bei der Anzahl von 4 Samples und Einsendungen läßt sich nicht annähernd ein mathematisches Ergebniss für eine Statistik errechnen. Subjektiv mag sowas nett sein. Objektiv müsste man das mit hunderten oder tausenden Samples über einen längeren Zeitraum machen.
Voyager
Symantec:
irgendein Fakecodec/Fake-AV
Rückantwort / Erkennung:
Rückantwort im besten Fall am nächsten Werktag , Erkennung eines Sample mit geringer Verbreitung im besten Fall eine Woche später . Bei relativ alten Samples mit null Verbreitung gibt es keine Rückantwort und keine Erkennung.
Nach meiner Beobachtung ist de Wahrscheinlichkeit einer raschen Erkennung eines gefährlichen Malwaresamples wesentlich größer wenn man dies über NAB erkennen und automatisch submitten lässt .

Ob der Symantec Submit Service in der Form etwas bringt möchte ich nicht beantworten , die neuen Viren bekommen die sowieso über ihr eigenes Honeypot.

Prinzipiell könnte man den Threat auch wieder schliessen weil Julian sicher nur genau das wissen wollte wink.gif
Scrapie
Hi

Wird nie mehr sein, als den Stand x zu Zeitpunkt y darzustellen. Zu viele Variable um eine wirkliche Aussage treffen zu können.

Bei Wilders läuft gerade ein ähnlicher Thread und ich zitiere einfach mal einen User, dem ich 100% zustimme:
ZITAT
It's all random, some company might have success some day and some vendor the next day. Then again, some vendors might be excellent with some particular type of malware or variant/family. There might also be problems with mail servers, spam filters, etc. that prevent uploading/sendin the sample .. and the user will end up thinking that it was ignored.

I think it's impossible to say which company is the fastest for adding detections.
Zitat von risl


"Nice to have" aber etwas handfestes wird hier nicht rauskommen - dafür bietet dieser Thread guten Stoff für Grabenkämpfe whistling.gif
Ich werde daher meine Erfahrungen hier nicht posten...


Gruß,
Scrapie
Julian
ZITAT(Caimbeul @ 30.09.2008, 18:12) *
Für eine wirkliche Vergleichbarkeit hätte man die gleiche Malware zum gleichen Zeitpunkt an die Firmen verschicken müssen.

Nein, für eine Erfassung ähnlich wie im VT-Thread geht es auch so, da alle die selbe Chance haben.
Und man wird sehr wohl erkennen können, welche Hersteller dazu tendieren, verhältnismäßig schnell eine Erkennung parat zu haben, oder welche eher dazu neigen, sich ordentlich Zeit zu lassen.

ZITAT(Scrapie @ 30.09.2008, 18:13) *
Wird nie mehr sein, als den Stand x zu Zeitpunkt y darzustellen. Zu viele Variable um eine wirkliche Aussage treffen zu können.

Um einen Trend abzeichnen zu können, der vielleicht nicht übermäßig viel Aussagekraft hat, aber immerhin auch nicht zu verachten sein sollte, wird es reichen.
Sonst kann man gleich den VT-Thread dichtmachen, weil die Ergebnisse praktisch null und nichtig sind.

Es geht um die normalen Wege, auf denen Malware eingsendet wird, und das machen die meisten Leute per eMail, und nicht mit irgendwelchen Uploadtools von Schutzprogrammen.

Trotz aller (zum Teil berechtigten) Kritik bin ich mir sicher, dass einige User so einen Thread nicht schlecht finden, sonst hätte der VT-Thread schon längst null Resonanz.
Voyager
ZITAT
Und man wird sehr wohl erkennen können, welche Hersteller dazu tendieren, verhältnismäßig schnell eine Erkennung parat zu haben, oder welche eher dazu neigen, sich ordentlich Zeit zu lassen.


so einfach ist das aber nicht zu beantworten , wenn ein AV-Vendor sich grundsätzlich Zeit lassen würde beim einpflegen aktueller Malware dann würde er bei offiziellen Tests nicht unter die ersten 3 fallen und unter die ersten 10 erst recht nicht.
DerHexer
vba32 29.09.2008 05:54 gesendet
am abend direkt ne mail bekommen
rock
kaspersky antwortet in den meisten der fälle SOFORT! bei kinkerlitzen (rogue z.B.) dauerds manchmal aber sie melden sich anstandshalber.
mc afee meldet sich auch umgehends!

ph34r.gif

Sicherheit
Als hier im Forum Neuling würde ich mir wünschen, das die Infos hier weiter einfließen. smile.gif

Danke
Nightwatch
F-Secure:

Sample gestern um 20:50 Uhr eingesendet. E-Mail-Antwort in der Nacht um 5:32 Uhr! Signatur: heute 10:20 Uhr!
citro
Hat schon wer in letzter Zeit etwas an Microsoft gesendet ?

Vor ein paar Monaten bekam ich einen Tag später ausführliche Antwort, mittlerweile dauert's ewig bis überhaupt nicht - ich schätze die sind überlastet
Sicherheit
ZITAT(Nightwatch @ 30.09.2008, 21:24) *
F-Secure:

Sample gestern um 20:50 Uhr eingesendet. E-Mail-Antwort in der Nacht um 5:32 Uhr! Signatur: heute 10:20 Uhr!


Das finde ich schon mal vorbildlich.
Xeon
ZITAT(Nightwatch @ 30.09.2008, 21:24) *
F-Secure:

Sample gestern um 20:50 Uhr eingesendet. E-Mail-Antwort in der Nacht um 5:32 Uhr! Signatur: heute 10:20 Uhr!

Kann ich so bestätigen, bei F-Secure geht das immer recht Fix...obwohl die Reaktion im Beispiel von Nightwatch eher "langsam" war,ich hatte schon Reaktionszeiten unter einer Stunde. smile.gif
Julian
Von den Herstellern im ersten Posting hab ich noch nichts wieder gehört.

Kaspersky:
Gestern um 20:11 vier Samples abgeschickt, um 03:01 kam eine Antwort, dass eine Erkennung beim nächsten Update dabei ist.

Was mich stutzig macht ist, dass ich zwei Samples geschickt habe, die aber jedes mal meinten, dass kein schädlicher Code dabei sei, obwohl recht viele AVs bei VT meckern.
Jericho
ZITAT(Julian @ 01.10.2008, 11:23) *
Was mich stutzig macht ist, dass ich zwei Samples geschickt habe, die aber jedes mal meinten, dass kein schädlicher Code dabei sei, obwohl recht viele AVs bei VT meckern.


Interessant dass du es ansprichst, hatte auch zwei Samples verschickt die bei VT ein Ergebnis von 22/32 bzw. 24/32 hatten. Trotzdem bekam ich von Kaspersky nur zwei negative Antworten.
Diese kamen allerdings innerhalb von 2 bzw. 4 Stunden. wink.gif
rock
ZITAT(rock @ 29.09.2008, 18:46) *
diesmal kommt UPS zum Zug (gleichmehrfach im postkasten)!
Datei UPS_letter.zip empfangen 2008.09.29 18:42:38 (CET)
http://www.rokop-security.de/index.php?s=&...st&p=250487
Mc Afee Extra Dat/Erkennung:
ups_letter.doc.exe |new detection |w32/auraax.worm |Virus |yes


gestern nach empfang abgesendet, mc afee SOFORT (ca. halbe stunde?) reaktion mit extra dat...

AVG heute früh um 8.30 Uhr laut email uhrzeit:
Dear Sir/Madam,

thank you for your email.

Please let us inform you that the file attached to your previous
e-mail was really infected by a new Trojan. The detection will be
available with the next AVG virus definitions update.

Thank you for your cooperation.

Please feel free to contact us if we can be of further help.

Answers to the most common questions can be found here as well:
http://www.avg.com/faq/
=================

habs aber an avg.com gesendet nicht an die tschech adress...
rock
ZITAT(Julian @ 01.10.2008, 11:23) *
Was mich stutzig macht ist, dass ich zwei Samples geschickt habe, die aber jedes mal meinten, dass kein schädlicher Code dabei sei, obwohl recht viele AVs bei VT meckern.


hey julian...

ja das kommt "öfters" vor....

hier der von bond reklamierte pc mighty max den symantec erkennt, avira per email malware bestätigt, aber kaspersky sagt - es ist nix drinne!

http://www.rokop-security.de/index.php?s=&...st&p=250297

ph34r.gif
Rios
ZITAT
Was mich stutzig macht ist, dass ich zwei Samples geschickt habe, die aber jedes mal meinten, dass kein schädlicher Code dabei sei, obwohl recht viele AVs bei VT meckern.

Julian, manchmal sieht es so aus, als gäbe es für KAS nur gut oder böse. Hat man im Sample nichts gefunden, wird sie als OK eingestuft. Manche AV's gehen hier einen Schritt weiter, und sagen zum Beispiel, das Programm ist in der Lage die Sicherheit ihres Systems zu beeinträchtigen, von ihnen nicht gewünschte Programmaktivitäten auszulösen, oder ihre Privatsphäre zu verletzen.
blueX
ZITAT(citro @ 30.09.2008, 21:25) *
Hat schon wer in letzter Zeit etwas an Microsoft gesendet ?

Vor ein paar Monaten bekam ich einen Tag später ausführliche Antwort, mittlerweile dauert's ewig bis überhaupt nicht - ich schätze die sind überlastet



Ich verwende das Upload-Formular - Antwort kommt noch am selben Tag bzw. am nächsten Tag, wenn es abends hochgeladen wird.


Fortinet meldet sich innerhalb 4 Stunden.



citro
ZITAT(blueX @ 01.10.2008, 18:25) *
Ich verwende das Upload-Formular - Antwort kommt noch am selben Tag bzw. am nächsten Tag, wenn es abends hochgeladen wird.


Ja, die Bestätigungsmail kommt am gleichen Tag, so wie bei Symantec, Avira, McAfee - aber das Ergebnis ?
blueX
Bekomme ich immer gleich am nächsten Tag - spätestens.


rock
Kaspersky 5 Minuten....

http://www.rokop-security.de/index.php?s=&...st&p=251365

ph34r.gif
Ford Prefect
ZITAT(Rios @ 01.10.2008, 17:25) *
Julian, manchmal sieht es so aus, als gäbe es für KAS nur gut oder böse. Hat man im Sample nichts gefunden, wird sie als OK eingestuft. Manche AV's gehen hier einen Schritt weiter, und sagen zum Beispiel, das Programm ist in der Lage die Sicherheit ihres Systems zu beeinträchtigen, von ihnen nicht gewünschte Programmaktivitäten auszulösen, oder ihre Privatsphäre zu verletzen.


Manche samples die im Umlauf sind, sind ja auch korrupt und nicht mehr ausführbar.
Lab A nimmt es dennoch in die Erkennung, Lab B checkt selbst erst mal die Lage über vt & co und zieht ggf. nach, und Lab C denkt sich "lass die anderen mal...".

Auch schon erlebt smile.gif
rock
ZITAT(rock @ 08.10.2008, 16:26) *


AVG.com erst heute (lt.MailUhrzeit) 8.57 Uhr

Dear Sir/Madam,

thank you for your email.

Please let us inform you that the file attached to your previous
e-mail was really infected. The detection is already available with
the current AVG virus definitions.

Thank you for your cooperation.

Please feel free to contact us if we can be of further help.
=============

na bitte....alles in allem, wenns "notwendig" ist, zwischen "gleich" und "über nacht"!

Solution-Design


Symantec braucht mal wieder was Zeit. Ikarus dagegen, erkannte die Datei sofort
Voyager
pcdefender wurde erkannt aber jetzt schau mal ob die Einträge unter Start -> Webbrowser und Emailprogramm noch existieren ? Der Scanner hat die Einträge hier unter anderem mitgelöscht

ZITAT
Behobene Bedrohungen:
AntiVirus2008
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Irreführende Anwendung
Status: Vollständig behoben
-----------
19 Registrierungseinträge
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->FavoritesResolve:... - Repariert
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->Favorites:... - Repariert
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->FavoritesChanges:1 - Repariert
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->FavoritesResolve:... - Repariert
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->Favorites:... - Repariert
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->FavoritesChanges:1 - Repariert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center->AntiVirusOverride:0 - Repariert
1 Datei
f:\40\1\pcdefender2008install.exe - Gelöscht
Solution-Design
Bei mir hat Symantec bei Scan von pcdefender2008 das gesamte Vista-Startmenü geschreddert ranting.gif



Na, wenigstens klappt die Wiederherstellung der "Malware"/Startmenü.
Voyager
Das ist mir schon das zweite mal passiert , beim ersten mal wusste ichs nee das das eine Virenbereinigung war wink.gif
Solution-Design
Wäre ja glatt was für unsere NewsSite-Symantec-Basher whistling.gif

PS: Aber Sym könnte sich wirklich langsam was mehr Mühe geben :-(
Rios
ZITAT
Das ist mir schon das zweite mal passiert , beim ersten mal wusste ichs nee das das eine Virenbereinigung war

O/T Bond nicht böse sein, aber ich habe mich gekrümmt vor lachen. Das war ein guter Satz!! lmfao.gif
Voyager
Eine Stellungnahme eines Symantec Mitarbeiters zur Submission Bearbeitung....Kurz gesagt , Sie haben zu viele Einsendungen und zu wenig Leute.

Ob das jetzt nur eine Beschwichtigungs-Ausrede ist ? Trotzdem klingt das schon fast peinlich , da sollen Sie ein paar einstellen die den Rotz bei Virustotal gegenchecken. .
Domino
Das wird keine Beschwichtigung sein sondern die reine Wahrheit.
Kaspersky hat da ähnliche Probleme, vor allem, es wird jede menge harmloses Zeug zugesendet. Da lohnt es nicht wirklich Leute einzustellen....
Ich hatte vorgeschlagen eine spezielle Adresse einzurichten, für Leute die eben nicht jeden Blödsinn einsenden, Vorschlag wurde nicht angenommen. smile.gif



Domino
flexibel44
ZITAT(bond7 @ 22.10.2008, 14:15) *
Eine Stellungnahme eines Symantec Mitarbeiters zur Submission Bearbeitung....Kurz gesagt , Sie haben zu viele Einsendungen und zu wenig Leute.

Ob das jetzt nur eine Beschwichtigungs-Ausrede ist ? Trotzdem klingt das schon fast peinlich , da sollen Sie ein paar einstellen die den Rotz bei Virustotal gegenchecken. .


Aber das macht dann wahrscheinlich bei IBK 0,5 % aus....
Solution-Design
Bei IBK wird auch keine Adware/Spyware getestet. So gesehen empfinde ich es schon erschreckend, dass hier auf Rokop mehr funktionsfähige Schädlinge in einem Thread veröffentlicht und gefunden werden, als bei den hochgelobten bezahlten Virus-Laboratorien. Das soll deren Arbeit und das Hinzufügen hunderter Malware-Dateien nicht schmälern, aber es fällt eben auf und dann darf man schon Fragen stellen. Auch, sollte Malware wie jetzt im obigen Fall, gefunden und bereinigt werden, diese Bereinigung aber gleichzeitig für Windows (und dem Nutzer) wichtige Registriereinträge löschen. Das zeugt nicht gerade von Qualitätssicherung. Vertrauen erweckt es zumindest nicht.
citro
ZITAT(Solution-Design @ 21.10.2008, 19:39) *


Symantec braucht mal wieder was Zeit.


Bei mir wird die Quarantäne nicht automatisch neu gescannt, wie funktioniert das bei dir ?
Voyager
Manueller Scan und Erkennung der Datei.
citro
ZITAT(bond7 @ 23.10.2008, 14:54) *
Manueller Scan und Erkennung der Datei.


Geht aber nur im Fullscan, wenn die Datei in Quarantäne ist, brauche ich eine Kopie davon in einem Ordner, dass ich mit Rechtsklick überprüfen kann ob sie dann und wann erkannt wird. Normal müsste doch ein AV auch die Quarantäne autom. nach Def.Updates gelegentlich scannen confused.gif

edit: gerade entdeckt zB die fake flashplayer.exe ist schon lange bei mir in Quarantäne, wird zwar jetzt erkannt aber eben nur in einem Ordner.



Als Downloader erkannt, aber nicht in Quarantäne
Voyager
Bei dem Hinzufügen von Objekten in die Quaratäne musst du nicht zwangsläufig "Datei vom Datenträger entfernen" anhacken und kannst das Objekt im Testordner drinn lassen für spätere Nachkontrollen. Du hast immer das Häckchen gesetzt .
citro
HI,
weiß ich, aber eben die Datei in Quarantäne wird nicht nachgeprüft.
Es gibt User, welche nichts in einem Testordner lassen wollen.
Voyager
Du kannst das Risiko sowieso nicht wieder herstellen dann wird es sowieso gleich wieder gelöscht von daher ist das eigentlich egal ob dir Norton jetzt extra noch sagt "Wir haben heute das xyz aus der Quarantäne erkannt".
Du kannst aber hier den Vorschlag mit einreichen http://community.norton.com/norton/board/m...;thread.id=6580
blueX
ZITAT(Domino @ 22.10.2008, 14:57) *
Das wird keine Beschwichtigung sein sondern die reine Wahrheit.
Kaspersky hat da ähnliche Probleme, vor allem, es wird jede menge harmloses Zeug zugesendet. Da lohnt es nicht wirklich Leute einzustellen....
Ich hatte vorgeschlagen eine spezielle Adresse einzurichten, für Leute die eben nicht jeden Blödsinn einsenden, Vorschlag wurde nicht angenommen. smile.gif



Es gibt aber eine Art "filtern" indem manche Adressen bevorzugt werden.



markus17
Ich muss sagen, dass McAfee seit neuestem sehr schnell reagiert. Die letzte Einsendung wurde in 20min bearbeitet.

Antworten bekomme ich jedoch nur von folgenden Herstellern (manchmal gibts auch nur das Mail, dass mein Sample angekommen ist):
- Avira
- McAfee
- Kaspersky
- Sophos
- Fortinet
- Virusbuster
- CA
- Dr. Web
- Ahnlab (aber die Mails kann ich nie lesen, das sind nur Schriftzeichen lmfao.gif )
Von Avast bekam ich nur eine Antwort auf eine Einsendung von einem FP.

Die restlichen AV-Hersteller schicken mir keine Antwort auf meine Einsendungen. Bitdefender reagiert allerdings meistens innerhalb von wenigen Stunden, da die meisten Einsendungen irgendwann von GDATA erkannt werden.
citro
@markus17

Microsoft antwortet in unregelmäßigen Abständen auch.

Außerdem Panda innerhalb eines Tages
markus17
Hab nochmal nachgesehen. Microsoft und Panda haben mir auch schon geantwortet. Hab die Mails irgendwie übersehen. ^^
Leider ist es aber nicht üblich, dass alle Antworten. :-(
citro
Der Beitrag passt auch in diesen Thread:

http://www.rokop-security.de/index.php?s=&...st&p=252916
citro
Am 1.11 hatte ich einen fake-codec, wie es sie massenweise gibt, bei sämtlichen AVs eingesendet.
Auf VT erkannt ihn nur AVG.
Heute fast alle - bis auf Bitdefender und McAfee (mit Sendebestätigung), das dauert bei denen oft Wochen, bessere Erfahrung hab ich nie gemacht.

http://www.virustotal.com/de/analisis/3ae7...8c654c64548453b
blueX
Fortinet ist nicht dabei - hier bekomme ich am schnellsten die Antworten.



markus17
Also in meiner Liste schon. biggrin.gif
ZITAT
- Avira
- McAfee
- Kaspersky
- Sophos
- Fortinet
- Virusbuster
- CA
- Dr. Web
- Ahnlab (aber die Mails kann ich nie lesen, das sind nur Schriftzeichen lmfao.gif )
olli
Laut aktueller Tests in den Zeitschriften schafft GData eine Reaktionszeit von unter 2 Stunden. Wie machen die das, wenn BitDefender 2-4 Stunden Reaktionszeit hat? Avast ist ja auch nicht der Renner.

Bis denne
Olli
markus17
Die Jungs von Dr. Web haben mir gerade in knapp 4 Minuten geantwortet und das Sample in die Signaturen aufgenommen. :-o
Mail Gesendet um 14:20, Bestätigungsmail erhalten um 14:20:59, Sample wurde in die Signaturen aufgenommen um 14:24:13.
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.