Tool zum testen des Virenscanners (Hintergrundwächter)

#1 AntiVirus-Tester 3.0
Vorab: Die Beschreibungen auf der Internetseite des Herstellers sind veraltet.
Die Beschreibungen und FAQ sind etwas veraltet und beziehen sich auf die Version 2.0.
Die Helpfiles sind aktueller, habe sie mal hier hochgestellt und empfehle sie zu lesen, bevor man die Tests durchführt.

Ein Test erzeugt ein temporäres File unter C:\ . (lässt sich mit filemon sehr gut nachvollziehen.)
In manchen Fällen kann die Installation schon zu einem Alarm des Virenscanners führen. Habe das komplette Zip-paket mal zur Sicherheit bei Kaspersky-Onlinescan prüfen lassen.

Zitat

Current object: avtst30.zip
avtst30.zip Archive: ZIP
avtst30.zip/setup.exe Archive: Gentee
avtst30.zip/setup.exe/ginstall.dll Ok
avtst30.zip/setup.exe/av3.exe Ok
avtst30.zip/setup.exe/1.jpg Ok
avtst30.zip/setup.exe/2.JPG Ok
avtst30.zip/setup.exe/avtester.jpg Ok
avtst30.zip/setup.exe/contents.gif Ok
avtst30.zip/setup.exe/about.htm Ok
avtst30.zip/setup.exe/description.htm Ok
avtst30.zip/setup.exe/how.htm Ok
avtst30.zip/setup.exe/help.htm Ok
avtst30.zip/setup.exe/tested.htm Ok
avtst30.zip/setup.exe/web.htm Ok
avtst30.zip/setup.exe/intro.htm Ok
avtst30.zip/setup.exe/about.gif Ok
avtst30.zip/setup.exe/intro.gif Ok
avtst30.zip/setup.exe/how.gif Ok
avtst30.zip/setup.exe/desc.gif Ok
avtst30.zip/setup.exe/tested.gif Ok
avtst30.zip/setup.exe/file_id.diz Ok
avtst30.zip/setup.exe/install.txt Ok
avtst30.zip/setup.exe/readme.txt Ok
avtst30.zip/setup.exe/main.gif Ok
avtst30.zip/setup.exe/uninstal.exe Ok
avtst30.zip/setup.exe/GenteeScript Ok
avtst30.zip/install.txt Ok
avtst30.zip/readme.txt Ok

Nun zum Kern der Sache:

Das Tool bietet 4 Tests:
1- EICAR-Standard Test
2- Simple Worm-Test
3- Enhanced Worm Test
4- Enceyptedt Worm Test

Meine Ergebnisse: (Einstellungen gemäß der Empfehlung der Helpfiles des Test-Tools [Heuristik, Uptodate, auf "Löschen" eingestellt])

Win98, Antivir-Free Edition
Test 1 und 3 bestanden
2 und 4 durchgefallen

Win98 Kaspersky 4.5
Test 1,2,3,4 durchgefallen

Win 2000 Antiviral-Toolkit 3.0 (Kaspersky)
Test 1,2,3,4 durchgefallen

Bin neugierig, was Ihr an Ergebnissen zu Posten habt.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#2 @joschi
Kav ist dabei durchgefallen????
Nun ja, Bitdefender 7.2 /W2k hat sie jedenfalls alle.

mfg
Klaus

#3 Jo mein AVK12 ist auch überall durchgefallen, allerdings finde ich diesen Test sehr merkwürdig.

Laut Filemon wird die Datei in der gleichen Millisekunde gelöscht in der sie das erste Mal geöffnet wird. Auch im Log steht das die Datei gelöscht wurde und zwar von AVK und nicht von AntiVirus Tester. Naja glaub kaum das man im Brauchteil einer Millisekunde ernsthaft Schaden anrichten könnte
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#4 Xp alle Updates
Antivir-Free Edition
Als Administrator angemeldet:
Eicar und Enhanced Worm Test bestanden
User:
Besteht alles auch bei deaktivierten AV

PS: Sind auch alle Datein weg? hab nicht aufgepasst :>
Hat jemand schon Tests mit Ads durchgeführt?
Ich mach wahrscheinlich dieses Wochenende ein paar.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#5 ´Halte den Test auch nicht für ultimativ und würde auch niemandem nur auf Grund eines negativen Testergebnisses zu einem anderen Scanner raten.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Hm,
Cillin (9.61) findet auch alle, hier löscht das Tool selber.
Beim Bitdefender bleiben die Files erhalten, kein zugriff mehr möglich.

mfg
Klaus

#7 tja das ist ernüchternd

Habe mit "AntiVir 6" (aktuell) auf Windows 2000 getestet.
Test 1 und 3 bestanden
2 und 4 durchgefallen
Also selbes Ergebnis wie Joschi
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#8 Also, erstmal so allgemein: die getesten Viren sind relativ alt und sollten von jedem Scanner, der bei Zugriff (!) scannt, erkannt werden.

Ich habe das hier mal mit VirusScan Pro von NAI (McAfee) getestet - keine Probleme, alles im grünen Bereich. Auch wird sofort nach der Installation das Tool gelöscht, da es die Signaturen der Viren enthält

edit: Wer seinen Mailscanner mal testen möchte, der hat zwei Möglichkeiten:
www.eicar.org - dort gibt es die Eicar Testfiles. Ein Virenscanner, der das nicht erkennt, der verdient den Namen nicht.

Ein weitaus ausführlicherer Test, der sich auch mit "Exploits" für Mailprogramme (insbesondere OU) beschäftigt, findet Ihr unter http://www.gfi.com/emailsecuritytest/

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 So der nächste.

Der GData AVK Client/Server (upgedated) auf Windows 2000 erkennt alle Viren und schiebt Sie in Quarantäne . Die Testsoftware sagt aber für alle Tests failed. Scheint ein Problem der Zugriffsgeschwindigkeit zu sein.

Habe leider keine Zeit für genauere Test
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#10

Zitat

Naja glaub kaum das man im Brauchteil einer Millisekunde ernsthaft Schaden anrichten könnte

der bruchteil reicht z.B. aus den bootsector zu killen :-)

gruss coder

#11 Dieser "Test" taucht wohl irgendwann in jedem Forum mal auf. Das ist ein "schwachsinniger" Test. Es wird ja nicht mit Malware getestet und warum sollte man etwas erkennen, was nicht gefaehrlich ist? Wenn ich es recht in Erinnerung habe, erkennt das KAV mit den erweiterten Signaturen.
__________
MfG Ralf
SEO-Spam Hunter

#12 Stimmt, der Test ist wirklich nicht der neueste...

Aber: zumindest die "Eicar"-Datei sollte von jedem Scanner erkannt werden (und das tun ja wohl auch alle).
Von daher ist es schon interessant zu sehen, dass einige Scanner (insbesondere KAV) anscheinend nicht in der Lage sind, schnell genug(?) zu reagieren.

Der Blick ins FileMon-Log zeigt, dass der KAV-Monitor zwar sofort "anspringt", wenn die Test-Datei erstellt wurde, aber zu diesem Zeitpunkt die Datei schon nicht mehr findet. Danach bleibt er untätig und stumm.

F-Secure (mit KAV-Engine) dagegen wird wohl zu einem etwas anderen Zeitpunkt (später?) aktiv, findet dadurch die Datei komischerweise und meldet die Infektionen - trotzdem hat der Scanner laut dem "AVTester" versagt, da er wohl nicht in der Lage ist, den Zugriff auf die Datei "richtig" zu blockieren.

Solange die Test-Viren nicht ausgeführt werden, kann man daraus natürlich keine Schlüsse ziehen, ob das ein Problem ist - was interessiert mich, ob mein Scanner es zulässt, dass sich eine Virus-Datei für eine Mili-Sekunde auf meinem Rechner breitmacht und dann wieder (ohne aktiv zu werden) wieder verschwindet...

Es wäre von daher schon interessant zu erfahren, ob die Methode des AVTesters benutzt werden könnte, um Viren nicht nur kurz zu droppen, sondern auch an manchen Wächtern "vorbei" zu starten...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#13 @ Raman: Hast Du mir einen Link, um die erweiterten Signaturen runterzuladen ?
Habe das schon mal wo gesehen, finde es beim besten Willen nicht mehr
Danke

---------
Mh, ganz einfach . ftp://ftp.kaspersky.com/updates_x/
__________
Durchsuchen --> Aussuchen --> Untersuchen

#14 Ja, du musst im Updater das Verzeichniss "updates" durch "updates_ext" oder "updates_x" ersetzen. Mit _x wird allerdings meiner Meinung nach zuviel erkannt, sprich Servu ftpserver und Mirc versionen, Cra*hier nicht!* usw. Mit "_ext" faehrt man eigentlich sehr gut.
__________
MfG Ralf
SEO-Spam Hunter

#15 Raman, _was_ erkennt KAV von dem Test mit erweiterten Signaturen?

Das komplette Test-Programm als solches? Das wär ja für'n A**** ...

Oder die eigentlichen Test-Dateien, also z.B. den "eicar.com"? Den erkennt KAV ja auch so... und da F-Secure alle vier Test-Dateien erkannt hat, liegt die Vermutung nahe, dass auch KAV dies prinzipiell tut (leider sind die F-Secure-Meldungen nicht immer eindeutig den einzelnen Engines zuzuordnen.)

Ich denke, KAV (u.a.) hat hier wirklich ein Timing-Problem, wenn man denn von "Problem" sprechen kann (siehe mein vorheriges Posting.)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?