Tool zum testen des Virenscanners (Hintergrundwächter)

#0
16.02.2004, 21:47
Moderator
Avatar joschi

Beiträge: 6466
#1 AntiVirus-Tester 3.0
Vorab: Die Beschreibungen auf der Internetseite des Herstellers sind veraltet.
Die Beschreibungen und FAQ sind etwas veraltet und beziehen sich auf die Version 2.0.
Die Helpfiles sind aktueller, habe sie mal hier hochgestellt und empfehle sie zu lesen, bevor man die Tests durchführt.

Ein Test erzeugt ein temporäres File unter C:\ . (lässt sich mit filemon sehr gut nachvollziehen.)
In manchen Fällen kann die Installation schon zu einem Alarm des Virenscanners führen. Habe das komplette Zip-paket mal zur Sicherheit bei Kaspersky-Onlinescan prüfen lassen.

Zitat

Current object: avtst30.zip
avtst30.zip Archive: ZIP
avtst30.zip/setup.exe Archive: Gentee
avtst30.zip/setup.exe/ginstall.dll Ok
avtst30.zip/setup.exe/av3.exe Ok
avtst30.zip/setup.exe/1.jpg Ok
avtst30.zip/setup.exe/2.JPG Ok
avtst30.zip/setup.exe/avtester.jpg Ok
avtst30.zip/setup.exe/contents.gif Ok
avtst30.zip/setup.exe/about.htm Ok
avtst30.zip/setup.exe/description.htm Ok
avtst30.zip/setup.exe/how.htm Ok
avtst30.zip/setup.exe/help.htm Ok
avtst30.zip/setup.exe/tested.htm Ok
avtst30.zip/setup.exe/web.htm Ok
avtst30.zip/setup.exe/intro.htm Ok
avtst30.zip/setup.exe/about.gif Ok
avtst30.zip/setup.exe/intro.gif Ok
avtst30.zip/setup.exe/how.gif Ok
avtst30.zip/setup.exe/desc.gif Ok
avtst30.zip/setup.exe/tested.gif Ok
avtst30.zip/setup.exe/file_id.diz Ok
avtst30.zip/setup.exe/install.txt Ok
avtst30.zip/setup.exe/readme.txt Ok
avtst30.zip/setup.exe/main.gif Ok
avtst30.zip/setup.exe/uninstal.exe Ok
avtst30.zip/setup.exe/GenteeScript Ok
avtst30.zip/install.txt Ok
avtst30.zip/readme.txt Ok
Nun zum Kern der Sache:

Das Tool bietet 4 Tests:
1- EICAR-Standard Test
2- Simple Worm-Test
3- Enhanced Worm Test
4- Enceyptedt Worm Test

Meine Ergebnisse: (Einstellungen gemäß der Empfehlung der Helpfiles des Test-Tools [Heuristik, Uptodate, auf "Löschen" eingestellt])

Win98, Antivir-Free Edition
Test 1 und 3 bestanden
2 und 4 durchgefallen ;)

Win98 Kaspersky 4.5
Test 1,2,3,4 durchgefallen

Win 2000 Antiviral-Toolkit 3.0 (Kaspersky)
Test 1,2,3,4 durchgefallen

Bin neugierig, was Ihr an Ergebnissen zu Posten habt.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
16.02.2004, 22:31
Member

Beiträge: 20
#2 @joschi
Kav ist dabei durchgefallen????
Nun ja, Bitdefender 7.2 /W2k hat sie jedenfalls alle.

mfg
Klaus
Seitenanfang Seitenende
16.02.2004, 22:33
Member

Beiträge: 3306
#3 Jo mein AVK12 ist auch überall durchgefallen, allerdings finde ich diesen Test sehr merkwürdig.

Laut Filemon wird die Datei in der gleichen Millisekunde gelöscht in der sie das erste Mal geöffnet wird. Auch im Log steht das die Datei gelöscht wurde und zwar von AVK und nicht von AntiVirus Tester. Naja glaub kaum das man im Brauchteil einer Millisekunde ernsthaft Schaden anrichten könnte ;)
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Dieser Beitrag wurde am 16.02.2004 um 22:38 Uhr von asdrubael editiert.
Seitenanfang Seitenende
16.02.2004, 22:42
Member

Beiträge: 1516
#4 Xp alle Updates
Antivir-Free Edition
Als Administrator angemeldet:
Eicar und Enhanced Worm Test bestanden
User:
Besteht alles auch bei deaktivierten AV ;)

PS: Sind auch alle Datein weg? hab nicht aufgepasst :>
Hat jemand schon Tests mit Ads durchgeführt?
Ich mach wahrscheinlich dieses Wochenende ein paar.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Dieser Beitrag wurde am 16.02.2004 um 22:45 Uhr von spunki editiert.
Seitenanfang Seitenende
16.02.2004, 22:48
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#5 ´Halte den Test auch nicht für ultimativ und würde auch niemandem nur auf Grund eines negativen Testergebnisses zu einem anderen Scanner raten.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
16.02.2004, 22:53
Member

Beiträge: 20
#6 Hm,
Cillin (9.61) findet auch alle, hier löscht das Tool selber.
Beim Bitdefender bleiben die Files erhalten, kein zugriff mehr möglich.

mfg
Klaus
Seitenanfang Seitenende
16.02.2004, 22:57
Member

Beiträge: 1095
#7 tja das ist ernüchternd

Habe mit "AntiVir 6" (aktuell) auf Windows 2000 getestet.
Test 1 und 3 bestanden
2 und 4 durchgefallen
Also selbes Ergebnis wie Joschi
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
17.02.2004, 06:54
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#8 Also, erstmal so allgemein: die getesten Viren sind relativ alt und sollten von jedem Scanner, der bei Zugriff (!) scannt, erkannt werden.

Ich habe das hier mal mit VirusScan Pro von NAI (McAfee) getestet - keine Probleme, alles im grünen Bereich. Auch wird sofort nach der Installation das Tool gelöscht, da es die Signaturen der Viren enthält ;)

edit: Wer seinen Mailscanner mal testen möchte, der hat zwei Möglichkeiten:
www.eicar.org - dort gibt es die Eicar Testfiles. Ein Virenscanner, der das nicht erkennt, der verdient den Namen nicht.

Ein weitaus ausführlicherer Test, der sich auch mit "Exploits" für Mailprogramme (insbesondere OU) beschäftigt, findet Ihr unter http://www.gfi.com/emailsecuritytest/

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
17.02.2004, 09:21
Member

Beiträge: 1095
#9 So der nächste.

Der GData AVK Client/Server (upgedated) auf Windows 2000 erkennt alle Viren und schiebt Sie in Quarantäne . Die Testsoftware sagt aber für alle Tests failed. Scheint ein Problem der Zugriffsgeschwindigkeit zu sein.

Habe leider keine Zeit für genauere Test ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 17.02.2004 um 09:22 Uhr von paff editiert.
Seitenanfang Seitenende
17.02.2004, 09:29
Member

Beiträge: 45
#10

Zitat

Naja glaub kaum das man im Brauchteil einer Millisekunde ernsthaft Schaden anrichten könnte
der bruchteil reicht z.B. aus den bootsector zu killen :-)

gruss coder
Seitenanfang Seitenende
17.02.2004, 10:57
Moderator

Beiträge: 7805
#11 Dieser "Test" taucht wohl irgendwann in jedem Forum mal auf. Das ist ein "schwachsinniger" Test. Es wird ja nicht mit Malware getestet und warum sollte man etwas erkennen, was nicht gefaehrlich ist? Wenn ich es recht in Erinnerung habe, erkennt das KAV mit den erweiterten Signaturen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.02.2004, 11:53
Member

Beiträge: 813
#12 Stimmt, der Test ist wirklich nicht der neueste... ;)

Aber: zumindest die "Eicar"-Datei sollte von jedem Scanner erkannt werden (und das tun ja wohl auch alle).
Von daher ist es schon interessant zu sehen, dass einige Scanner (insbesondere KAV) anscheinend nicht in der Lage sind, schnell genug(?) zu reagieren.

Der Blick ins FileMon-Log zeigt, dass der KAV-Monitor zwar sofort "anspringt", wenn die Test-Datei erstellt wurde, aber zu diesem Zeitpunkt die Datei schon nicht mehr findet. Danach bleibt er untätig und stumm.

F-Secure (mit KAV-Engine) dagegen wird wohl zu einem etwas anderen Zeitpunkt (später?) aktiv, findet dadurch die Datei komischerweise und meldet die Infektionen - trotzdem hat der Scanner laut dem "AVTester" versagt, da er wohl nicht in der Lage ist, den Zugriff auf die Datei "richtig" zu blockieren.

Solange die Test-Viren nicht ausgeführt werden, kann man daraus natürlich keine Schlüsse ziehen, ob das ein Problem ist - was interessiert mich, ob mein Scanner es zulässt, dass sich eine Virus-Datei für eine Mili-Sekunde auf meinem Rechner breitmacht und dann wieder (ohne aktiv zu werden) wieder verschwindet... ;)

Es wäre von daher schon interessant zu erfahren, ob die Methode des AVTesters benutzt werden könnte, um Viren nicht nur kurz zu droppen, sondern auch an manchen Wächtern "vorbei" zu starten...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 17.02.2004 um 12:06 Uhr von forge77 editiert.
Seitenanfang Seitenende
17.02.2004, 12:38
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#13 @ Raman: Hast Du mir einen Link, um die erweiterten Signaturen runterzuladen ?
Habe das schon mal wo gesehen, finde es beim besten Willen nicht mehr ;)
Danke

---------
Mh, ganz einfach ;). ftp://ftp.kaspersky.com/updates_x/
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
17.02.2004, 16:42
Moderator

Beiträge: 7805
#14 Ja, du musst im Updater das Verzeichniss "updates" durch "updates_ext" oder "updates_x" ersetzen. Mit _x wird allerdings meiner Meinung nach zuviel erkannt, sprich Servu ftpserver und Mirc versionen, Cra*hier nicht!* usw. Mit "_ext" faehrt man eigentlich sehr gut.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.02.2004, 20:43
Member

Beiträge: 813
#15 Raman, _was_ erkennt KAV von dem Test mit erweiterten Signaturen?

Das komplette Test-Programm als solches? Das wär ja für'n A**** ...

Oder die eigentlichen Test-Dateien, also z.B. den "eicar.com"? Den erkennt KAV ja auch so... und da F-Secure alle vier Test-Dateien erkannt hat, liegt die Vermutung nahe, dass auch KAV dies prinzipiell tut (leider sind die F-Secure-Meldungen nicht immer eindeutig den einzelnen Engines zuzuordnen.)

Ich denke, KAV (u.a.) hat hier wirklich ein Timing-Problem, wenn man denn von "Problem" sprechen kann (siehe mein vorheriges Posting.)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 17.02.2004 um 20:43 Uhr von forge77 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: