Tool zum testen des Virenscanners (Hintergrundwächter) |
||
---|---|---|
#0
| ||
16.02.2004, 21:47
Moderator
Beiträge: 6466 |
||
|
||
16.02.2004, 22:31
Member
Beiträge: 20 |
#2
@joschi
Kav ist dabei durchgefallen???? Nun ja, Bitdefender 7.2 /W2k hat sie jedenfalls alle. mfg Klaus |
|
|
||
16.02.2004, 22:33
Member
Beiträge: 3306 |
#3
Jo mein AVK12 ist auch überall durchgefallen, allerdings finde ich diesen Test sehr merkwürdig.
Laut Filemon wird die Datei in der gleichen Millisekunde gelöscht in der sie das erste Mal geöffnet wird. Auch im Log steht das die Datei gelöscht wurde und zwar von AVK und nicht von AntiVirus Tester. Naja glaub kaum das man im Brauchteil einer Millisekunde ernsthaft Schaden anrichten könnte __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. Dieser Beitrag wurde am 16.02.2004 um 22:38 Uhr von asdrubael editiert.
|
|
|
||
16.02.2004, 22:42
Member
Beiträge: 1516 |
#4
Xp alle Updates
Antivir-Free Edition Als Administrator angemeldet: Eicar und Enhanced Worm Test bestanden User: Besteht alles auch bei deaktivierten AV PS: Sind auch alle Datein weg? hab nicht aufgepasst :> Hat jemand schon Tests mit Ads durchgeführt? Ich mach wahrscheinlich dieses Wochenende ein paar. __________ °<- Vorsicht Trollköder und Trollfalle -> {_} Dieser Beitrag wurde am 16.02.2004 um 22:45 Uhr von spunki editiert.
|
|
|
||
16.02.2004, 22:48
Moderator
Themenstarter Beiträge: 6466 |
||
|
||
16.02.2004, 22:53
Member
Beiträge: 20 |
#6
Hm,
Cillin (9.61) findet auch alle, hier löscht das Tool selber. Beim Bitdefender bleiben die Files erhalten, kein zugriff mehr möglich. mfg Klaus |
|
|
||
16.02.2004, 22:57
Member
Beiträge: 1095 |
#7
tja das ist ernüchternd
Habe mit "AntiVir 6" (aktuell) auf Windows 2000 getestet. Test 1 und 3 bestanden 2 und 4 durchgefallen Also selbes Ergebnis wie Joschi __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
17.02.2004, 06:54
Ehrenmitglied
Beiträge: 2283 |
#8
Also, erstmal so allgemein: die getesten Viren sind relativ alt und sollten von jedem Scanner, der bei Zugriff (!) scannt, erkannt werden.
Ich habe das hier mal mit VirusScan Pro von NAI (McAfee) getestet - keine Probleme, alles im grünen Bereich. Auch wird sofort nach der Installation das Tool gelöscht, da es die Signaturen der Viren enthält edit: Wer seinen Mailscanner mal testen möchte, der hat zwei Möglichkeiten: www.eicar.org - dort gibt es die Eicar Testfiles. Ein Virenscanner, der das nicht erkennt, der verdient den Namen nicht. Ein weitaus ausführlicherer Test, der sich auch mit "Exploits" für Mailprogramme (insbesondere OU) beschäftigt, findet Ihr unter http://www.gfi.com/emailsecuritytest/ Robert __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
17.02.2004, 09:21
Member
Beiträge: 1095 |
#9
So der nächste.
Der GData AVK Client/Server (upgedated) auf Windows 2000 erkennt alle Viren und schiebt Sie in Quarantäne . Die Testsoftware sagt aber für alle Tests failed. Scheint ein Problem der Zugriffsgeschwindigkeit zu sein. Habe leider keine Zeit für genauere Test __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 17.02.2004 um 09:22 Uhr von paff editiert.
|
|
|
||
17.02.2004, 09:29
Member
Beiträge: 45 |
#10
Zitat Naja glaub kaum das man im Brauchteil einer Millisekunde ernsthaft Schaden anrichten könnteder bruchteil reicht z.B. aus den bootsector zu killen :-) gruss coder |
|
|
||
17.02.2004, 10:57
Moderator
Beiträge: 7805 |
#11
Dieser "Test" taucht wohl irgendwann in jedem Forum mal auf. Das ist ein "schwachsinniger" Test. Es wird ja nicht mit Malware getestet und warum sollte man etwas erkennen, was nicht gefaehrlich ist? Wenn ich es recht in Erinnerung habe, erkennt das KAV mit den erweiterten Signaturen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.02.2004, 11:53
Member
Beiträge: 813 |
#12
Stimmt, der Test ist wirklich nicht der neueste...
Aber: zumindest die "Eicar"-Datei sollte von jedem Scanner erkannt werden (und das tun ja wohl auch alle). Von daher ist es schon interessant zu sehen, dass einige Scanner (insbesondere KAV) anscheinend nicht in der Lage sind, schnell genug(?) zu reagieren. Der Blick ins FileMon-Log zeigt, dass der KAV-Monitor zwar sofort "anspringt", wenn die Test-Datei erstellt wurde, aber zu diesem Zeitpunkt die Datei schon nicht mehr findet. Danach bleibt er untätig und stumm. F-Secure (mit KAV-Engine) dagegen wird wohl zu einem etwas anderen Zeitpunkt (später?) aktiv, findet dadurch die Datei komischerweise und meldet die Infektionen - trotzdem hat der Scanner laut dem "AVTester" versagt, da er wohl nicht in der Lage ist, den Zugriff auf die Datei "richtig" zu blockieren. Solange die Test-Viren nicht ausgeführt werden, kann man daraus natürlich keine Schlüsse ziehen, ob das ein Problem ist - was interessiert mich, ob mein Scanner es zulässt, dass sich eine Virus-Datei für eine Mili-Sekunde auf meinem Rechner breitmacht und dann wieder (ohne aktiv zu werden) wieder verschwindet... Es wäre von daher schon interessant zu erfahren, ob die Methode des AVTesters benutzt werden könnte, um Viren nicht nur kurz zu droppen, sondern auch an manchen Wächtern "vorbei" zu starten... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 17.02.2004 um 12:06 Uhr von forge77 editiert.
|
|
|
||
17.02.2004, 12:38
Moderator
Themenstarter Beiträge: 6466 |
#13
@ Raman: Hast Du mir einen Link, um die erweiterten Signaturen runterzuladen ?
Habe das schon mal wo gesehen, finde es beim besten Willen nicht mehr Danke --------- Mh, ganz einfach . ftp://ftp.kaspersky.com/updates_x/ __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
17.02.2004, 16:42
Moderator
Beiträge: 7805 |
#14
Ja, du musst im Updater das Verzeichniss "updates" durch "updates_ext" oder "updates_x" ersetzen. Mit _x wird allerdings meiner Meinung nach zuviel erkannt, sprich Servu ftpserver und Mirc versionen, Cra*hier nicht!* usw. Mit "_ext" faehrt man eigentlich sehr gut.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.02.2004, 20:43
Member
Beiträge: 813 |
#15
Raman, _was_ erkennt KAV von dem Test mit erweiterten Signaturen?
Das komplette Test-Programm als solches? Das wär ja für'n A**** ... Oder die eigentlichen Test-Dateien, also z.B. den "eicar.com"? Den erkennt KAV ja auch so... und da F-Secure alle vier Test-Dateien erkannt hat, liegt die Vermutung nahe, dass auch KAV dies prinzipiell tut (leider sind die F-Secure-Meldungen nicht immer eindeutig den einzelnen Engines zuzuordnen.) Ich denke, KAV (u.a.) hat hier wirklich ein Timing-Problem, wenn man denn von "Problem" sprechen kann (siehe mein vorheriges Posting.) __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 17.02.2004 um 20:43 Uhr von forge77 editiert.
|
|
|
||
Vorab: Die Beschreibungen auf der Internetseite des Herstellers sind veraltet.
Die Beschreibungen und FAQ sind etwas veraltet und beziehen sich auf die Version 2.0.
Die Helpfiles sind aktueller, habe sie mal hier hochgestellt und empfehle sie zu lesen, bevor man die Tests durchführt.
Ein Test erzeugt ein temporäres File unter C:\ . (lässt sich mit filemon sehr gut nachvollziehen.)
In manchen Fällen kann die Installation schon zu einem Alarm des Virenscanners führen. Habe das komplette Zip-paket mal zur Sicherheit bei Kaspersky-Onlinescan prüfen lassen.
Zitat
Nun zum Kern der Sache:Das Tool bietet 4 Tests:
1- EICAR-Standard Test
2- Simple Worm-Test
3- Enhanced Worm Test
4- Enceyptedt Worm Test
Meine Ergebnisse: (Einstellungen gemäß der Empfehlung der Helpfiles des Test-Tools [Heuristik, Uptodate, auf "Löschen" eingestellt])
Win98, Antivir-Free Edition
Test 1 und 3 bestanden
2 und 4 durchgefallen
Win98 Kaspersky 4.5
Test 1,2,3,4 durchgefallen
Win 2000 Antiviral-Toolkit 3.0 (Kaspersky)
Test 1,2,3,4 durchgefallen
Bin neugierig, was Ihr an Ergebnissen zu Posten habt.
__________
Durchsuchen --> Aussuchen --> Untersuchen