Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Eure Erfahrungen mit AV-Support und AV-Labore
Rokop Security > Security > Trojaner, Viren und Würmer
blueX
Hallo,

dies soll ein Sammelthread über eure Erfahrungen von AV-Support und AV-Labore sein.
Welche Erfahrungen habt ihr im allgemeinen gemacht, welche Speziellen?

Ganz allgemein habe ich die Erfahrung gemacht, dass die Erkennung bei einem Einreichen der Samples via Upload-Formular sehr viel schneller ist, als der Submit via E-Mail.

Ich freue mich auf eure Erfahrungen.

LG
bluex




Voyager
Mit Symantec ist die Erfahrung mit Symantec Security Response eher schlecht . Eingereichte Malware wird meistens nur auf Druck bzw. Nachfragen bearbeitet und dann ist Kommunikation bei Fragen von analysierten Objekten übers Forum auch Mangelware. Ich versteh das einfach nicht wie man sich Malware Hunters so vergrätzen kann , die Jungs machen dort einen genervten Eindruck als wäre das ihnen einfach zuviel Arbeit die Sachen die man mühevoll anschleppt zu analysieren.
Seit die Rootkitschwemme begann hab ich versucht die Aufmerksamkeit der Symantec Mitarbeiter darauf zu lenken das speziell Norton Nutzer durch die Rootkits bedroht sind weil es das Funktionieren des AV schlicht und einfach unterbindet , bis heute hat das dort keinen sonderlich interessiert. Ich hab jedes extrahierte Rootkit eingesendet und musste extra noch wegen der Erkennung nachfragen wann die Samples bearbeitet werden , bis heute hat das dort auch keinen sonderlich interessiert hab ich den persönlichen Eindruck gewonnen. Mittlerweile hab ich bei 250 Beiträgen von Hilfesuchenden im Forum zum Thema MSIVX/Rootkit aufgehört zu zählen , das scheint dort in der Firmenmitarbeiter Riege einfach niemanden sonderlich zu interessieren wenn die User alle sagen mein Norton geht nicht mehr , das man vll. an der Software irgendwas machen müsste um die User besser zu schützen.
Ich hab Malwaresammlungen mithilfe der Mitarbeiter an Symantec Security Response übertragen lassen , auf Nachfrage warum man bei 52% aufgehört hat die Malware zu erkennen bekommt man als Antwort "Sie verschwenden unsere Zeit mit sauberen Dateien" . Naja die Dateien mögen da draussen im Internet sicher nichtmehr allzuviele bedrohen weil es täglich neue Varianten gibt aber Sauber waren Sie definitiv nicht , ich hätte mich ja damit abgefunden wenn man mir gesagt hätte das die Dateien eine zu geringe Verbreitung haben um sie extra zu erkennen und ich hätte Sie gelöscht.

das Thema sollten sich vll. mal ein paar NewsPortale annehmen und den Servicezustand bei Symantec öffentlich hinterfragen damit das in der Firma etwas weiter oben bei Symantec ankommt.


blueX
Diese Erfahrungen habe ich z. B. bei Fortinet, TrendMicro und AVIRA gar nicht gemacht.
Die ziehen sich sogar die Dateien von nem Link bei Rapidshare.

Aber es ist schon enttäuschend, wie manche Firmen hier reagieren.
Es gibt Firmen, die lassen wirklich kein Sample außer Acht.



Kenshiro
Und es gibt Firmen, die sehr stark nachlesen sad.gif
blueX
So:

Sample svchost.exe wurde eingeschickt -> Antwort keine Malware.
Nachdem das Threatexpert Log verlinkt wurde nimmt man jetzt das Sample in die Erkennung auf.




ube
Erfahrungen der letzten Jahre im Zusammenhang mit Uebermittlung neuer Malware und Hinweis auf Fehlalarme.

Kaspersky + Dr Web: Feedback innerhalb weniger Minuten bis in Ausnahmefaellen nach einigen Stunden, Aufnahme neuer Malware bzw Korrektur Fehlalarme innerhalb halber Stunde bis halben Tag.

F-Secure: Feedback innerhalb einer Stunde bis einigen Stunden, Aufnahme neuer Malware bzw Korrektur Fehlalarme innerhalb einer Stunde bis halben Tag.

Avira: Feedback innerhalb halber Stunde bis zwei Tagen (Wochenende, Feiertage), Aufnahme neuer Malware bzw Korrektur Fehlalarme innerhalb einer Stunde bis zwei Tagen (Wochenende, Feiertage).

Emsisoft + Ikarus: Feedback auf Mail innerhalb einiger Minuten bis ein Tag, Aufnahme neuer Malware bzw Korrektur Fehlalarme innerhalb zwei Stunden bis ein Tag. Einsendung Malware/Fehlalarm via a-squared Anti Malware Kontextmenue sporadisch unzuverlaessig, tendenziell im Laufe diesen Jahres hoehere zuverlaessigkeit.

Eset + Symantec: Kein Feedback nach Mails, Aufnahme neuer Malware bzw Korrektur Fehlalarme innerhalb einiger Stunden bis nie.
Aymibien
Kaspersky Lab= Einsendung Files ( mit evtl schädlichen Hintergrund) per Upload Formular Reaktion Kaspersky nach wenigen Minuten thumbup.gif

Gdata 2010= Einsendung Files ( Korrektur Fehlalarme) Upload Formular Reaktion 1 Stunde- mehrere Stunden
Stefan
Dies Jahr habe ich bislang eigentlich nur Erfahrungen mit AVG und a-squared gemacht.

Antwort per Mail kam bei AVG einen Tag später, mit dem Hinweis dass die Erkennung im nächsten Update enthalten ist.

A-squared hat von mir nur FP's über den Upload im Programm erhalten. Zwischen einem Tag bis zu über einer Woche dauerte da die Korrektur.
maxos
a-squared hat bei mir vor ein paar Wochen die exe eines nicht sehr gängigen Programmes in die Quarantäne verschoben (Fehlalarm) u. dann gefragt ob ich das Proggi übermitteln will.

Habe zugestimmt u. 6-7 Minuten später wurde es aus der Quarantäne automatisch wiederhergestellt u. damit in sehr kurzer Zeit als sauber richtig gestellt.
Stefan
Meine letzten Einsendungen der FP's aus a² waren allerdings im Januar / Februar, also schon ein bisschen her.
Solution-Design
Bei a-squared wünsche ich mir manchmal etwas mehr Response. Wenn Files in die Quarantäne geschoben und anschließend eingeschickt werden, erhält man meist keine Rückmeldung. Aber überhaupt ist die Quarantänefunktion noch was verbesserungswürdig. Malware, welche irgendwann doch erkannt wird, ist in der Quarantäne ja nicht als solche deklariert. Liegt wohl daran, dass emsisoft mit der Quarantäne nur FPs beheben wollte. Sollte mal überdacht werden, diese Funktion. Zumindest werden FPs immer noch schneller behoben, als Samples hinzugefügt werden. Da ist noch ein Missstand zu beheben. Bei Symantec regt mich das lächerliche Webformular geradezu auf.
blueX
Auch mal ganz interessant nachzulesen: http://forum.kaspersky.com/index.php?showtopic=124209

blueX
Iframe-Script an Fortinet gesandt. Eine Stunde später kam die Antwort, dass es künftig erkannt wird. thumbup.gif
So soll es sein.

http://www.virustotal.com/de/analisis/8ef2...2aa4-1250028381



raman
Zu Fortinet: DIe habennoch nie,nie, niemals nei geantwortet und das seit die Malware auch an Fortinet geschickt wird (ca. 4 Jahre!?),.........
Tja, bis gestern, da kam eine relativ Informative Mail.......

Die haben wohl auch ein neues "Ticketsystem" bei Fortinet!?
blueX
An welche Adresse schickst du die Files?
Ich habe bis jetzt immer eine Antwort erhalten.

Am schnellsten geht es aber per Upload-Formular -> http://www.fortiguard.com/antivirus/virus_scanner.html
Egal ob Feiertag, Wochenende, Tag und Nacht. Innerhalb weniger Stunden habe ich eine Antwort.
Vielleicht solltest du einmal eine andere Absenderadresse angeben.



raman
Das ganze geht ueber einen Verteier, darum schick ich das nicht extra nochmal extern weiter.

Ich hab eben geschaut, das geht an submitvirus ät fortinet.com
blueX
Von dieser Adresse müsste aber eine Antwort kommen.


ube
Heute, 15:37 Uhr Sample via Upload Formular an Avira uebermittelt.

16:07 Uhr Reaktion erhalten:

Zitat Anfang

Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: XXX.

Wir haben folgende Archivdateien empfangen:

Datei ID Dateiname Größe (Byte) Ergebnis
25430833 D4fd34b4e.zip 24.13 KB OK
Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
25430834 D4fd34b4e.exe 36.5 KB MALWARE

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

Dateiname Ergebnis
D4fd34b4e.exe MALWARE
Die Datei 'D4fd34b4e.exe' wurde als 'MALWARE' eingestuft.Unsere Analytiker haben dieser Bedrohung den Namen TR/Drop.Obfusc.J gegeben.Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann. Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.

Zitat Ende
blueX
Man sollte auch die Quelle der Malware sagen sowie (sofern es zutrifft), dass von der Malware täglich eine neue Version online gestellt wird.
Hier schreibt ein AV:

ZITAT
This file and url was forwarded to generic group.



Catweazle
IMHO ist das doch wurst wo man das her hat, hauptsache es ist belegt das es sich um Malware handeln tut whistling.gif

Beweiße noch nachreichen, oder erbringen von welcher Webseite, Quelle es sich handeln tut, eine seltsaheme vorgehensweiße, von den einbringern der Av Hersteller stirnklatsch.gif

Ps: Vielleicht mache ich mich auch lächerlich mit diesen posting, aber es gibt schlimmeres.

Catweazle
blueX
Catweazle, du verstehst mich nicht richtig.

Ich wollte damit zum Ausdruck bringen, dass es durchaus sinnvoll ist, wenn man die Informationen an das Lab weiterleitet, da dann möglicherweise eine Generic-Signatur erstellt wird und somit können künftige Varianten des Schädlings leichter und besser erkannt werden.




Catweazle
ZITAT(blueX @ 31.08.2009, 20:00) *
Catweazle, du verstehst mich nicht richtig.

Ich wollte damit zum Ausdruck bringen, dass es durchaus sinnvoll ist, wenn man die Informationen an das Lab weiterleitet, da dann möglicherweise eine Generic-Signatur erstellt wird und somit können künftige Varianten des Schädlings leichter und besser erkannt werden.



Ok, dan hatte ich das nicht richtig verstanden, was du rüber bringen wolltest, oder was ich verstanden habe.

Catweazle
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.