MRG Effitas 360 Assessment & Certification Q2 2016

[Alex]

Ein Test ist erschienen.

Quelle: https://www.mrg-effitas.com/wp-content/ ... 2-2016.pdf

[Astor27]

über das abschneiden von Malwarebytes 53,0%bin ich doch erstaunt habe es für besser gehalten
Zemana 91.9% und HitmanPro 91,4%

[Alex]

Da bin ich auch überrascht.

[Rytoss]

Interpretiere ich den Test falsch? Irgendwie tun sich gerade ziemlich viele Fragezeichen auf ...

1. Ransomware-Test: Ich frage mich, welche Komponente von "Avira Internet Security 14.0.16.208" (und der BB war es ja anscheinend nicht) dafür sorgt, dass mit Abstand so viel Ransomware direkt und sofort geblockt wird ??? Avira ist doch eher einfach gestrickt und legt doch mehr Wert auf Signaturen/AV (hat kein HIPS und gar nichts)

2. Ransomware-Test: Wo sind in dem Ransomware-Test die ganzen BBs/Verhaltensanalysierer? Bis auf Kasperle und Bitdefender spielen die offenbar ziemlich genau 0.0% eine Rolle? Norton's Sonor oder ESET, bei BBs/Verhaltensanalysierer nix? Überhaupt bin ich etwas überrascht vom wirklich schlechten Ergebnis von Norton ...

3. Jetzt hätte mich da aber mal wirklich das Ergebnis von Emsisoft interessiert!

4. Ransomware-Test: Spielen BBs/Verhaltensanalysierer nach dem Test nun doch keine oder nur eine kleine Rolle? Oder ist hier EAM/EIS wirklich DIE Ausnahme oder selbst die sind es nicht???

[darktwillight]

• Fragen über Fragen:

• Erstmal zu dem in der PDF erwähnten Testaufbau:
  • Windows 10 64-Bit-Betriebssystem wurde auf einer virtuellen Maschine installiert,
    mit allen aktuellen Updates.
    Bekannter Maßen gibt es unter den sogenannten Malwaretypen die Geld Erpressen wollen,
    welche die Erkennen ob sie in einer Virtuellen Umgebung sind.
    Beeinflusst das nicht den gesamten Test?
  • Dann gibt es keine Information zu der verwendeten Virtuellen Umgebung(Welches Virtual Programm?).

Nächster Punkt:

• Blocken von Url /Binärdateien und unterschiedliche Schutzmechanismen.
  • Binärdatei sollten als bösartig erkannt werden und dann
    entweder blockiert oder verschoben oder vor der Ausführung gewarnt werden.
  • Ohne Einzelne Ergebnisse nach lesen zu können, kann man auch den Test
    nicht richtig als User bewerten! Der Test Aufbau und die Verfahrensweisen die zu einem
    Erkennen oder zu einer Infektion durch einem bestimmten Malwaretype und
    der Reaktion einer bestimmten AV/IS Programm sind mir Persönlich
    viel zu undetailliert dokumentiert in diesem Test.

[Claudia]

trotzdem finde ich den Test interessant und hilfreich in Punkto 24 Stunden später und Behaviour Blocker (BB)

@Rytoss

zu 1. würde ich Avira Cloud Sicherheit dies zuschreiben - https://www.avira.com/de/avira-protection-cloud
zu 2+4 die wenigsten Programme haben ein BB - schade das AVG nicht in dem Ransomware-Test aufgeführt ist

[Rytoss]

Gibt es eigentlich aktive und gute 3rd-Party-Produkte (Engine-Lizenznehmer) die diese Avira Cloud auch nutzen (Außer Avira selbst natürlich *g*)?

Leider haben sie von den Großen meistens immer die Internet Security getestet, gerade hier hätte mich auch das Ergebnis vom AV + BB bzw. bei ESET NOD mit HIPS interessiert.

[Gast]

• Fragen über Fragen:

Nächster Punkt:

• Blocken von Url /Binärdateien und unterschiedliche Schutzmechanismen.
  • Binärdatei sollten als bösartig erkannt werden und dann
    entweder blockiert oder verschoben oder vor der Ausführung gewarnt werden.
  • Ohne Einzelne Ergebnisse nach lesen zu können, kann man auch den Test
    nicht richtig als User bewerten! Der Test Aufbau und die Verfahrensweisen die zu einem
    Erkennen oder zu einer Infektion durch einem bestimmten Malwaretype und
    der Reaktion einer bestimmten AV/IS Programm sind mir Persönlich
    viel zu undetailliert dokumentiert in diesem Test.

Trotzdem finde ich den Test doch interessant, ist wie so oft natürlich nur eine Momentaufnahme.
Viele Nutzer verlassen sich halt blind auf ihre AV Schutzsoftware und erwarten die 100%ige Sicherheit.
Der Test ist eine reine Klick Aktion, ohne dass der ahnungslose Nutzer schon vorher im Kopf misstrauisch wird.
Trotzdem überrascht wie hier einige AV Programme gar nicht so dem üblichen Schema entsprechen.

Unter, .pdf Seite 15
"Appendix 1
6. Each live URL test was conducted by:
a. Downloading a single malicious binary from its native URL using Microsoft Edge to the desktop,
closing Microsoft Edge and then executing the binary.
b. The security application blocked the URL where the malicious binary was located.
c. The security application detected and blocked the malicious binary whilst it was being
downloaded to the desktop.
d. The security application detected the malicious binary when it was executed according to the
following criteria:
It identified the binary as being malicious and either automatically blocked it or postponed
its execution and warned the user that the file was malicious and awaited user input"
Quelle .pdf: https://www.mrg-effitas.com/wp-content/ ... 2-2016.pdf

[darktwillight]

Jeder darf gerne seine Eigene Meinung zu dem, Test haben
Ich habe mir diesen Englisch sprachigen Test auch durch gelesen.

► Text anzeigen

Testaufbau lauft MRG Effitas:

• Windows 10 64-Bit-Betriebssystem auf einer virtuellen Maschine, mit allen aktuellen Updates.

• Diese Virtuelle Maschinen wurde dann geklont, um die verschieden Produkte mit
  Malware und Urls zu testeten.

• Es ist Mir auch klar, das wie in allen Tests, keine Detaillierte Beschreibung
  des Test Aufbaus zu finden ist.
  
  1) Sollen die Malware Schreiber keine Informationen erhalten,
  welches Virtuelles Programm benutzt wird um zu testen.
  
  2) Selbst wenn dazu eine Information es geben würde,
  gibt es zig Möglichkeiten diese VM Einzustellen.
  
  3) Zwar wurde Stellung bezogen, zu der Verbreiten Malware und Urls Weltweit und
  das sie daraus Malware als Probe für den Test benutzt wurde.
  Aber das ist mir zu Persönlich zu wenig Information.

• Malware und urls erkannt durch Signatur und Cloud System,
  ist Gut und schön. Hilfte es aber wirklich ein zu schätzen wie Gut der Test und das jeweilige
  Programm ist?

• Beispiele aus der Vergangenheit an die ich mich erinnern kann:
  Malware und Url wurden nicht erkannt, wenn man sie auf VT gescannt hat wurden sie erkannt.
  Das selbe gab es auch umgekehrt, also das das selbe Programm mit Realem System
  die Url und Malware erkannte, aber im VT der selbe Programm Hersteller es nicht erkannte.
  Mach mal sogar bei Vt in einer anderen Version des selben Herstellers.

• Dazu kommt noch das es Probleme geben kann mit Malware in Virtuellen Maschinen,
  manche Malware erkennt die VM und verhält sich anders als auf einer Realen Maschine.

  Zitat: Doch inzwischen tritt vermehrt Malware auf, die versucht zu erkennen, ob sie in einer Sandbox läuft. Erst dann entscheidet sie, ob sie weiter agieren kann, oder lieber inaktiv bleiben sollte.
  Quelle: https://www.it-cube.net/cubespotter/int ... wegducken/

  Zitat: Intruders Verwenden von virtuellen Maschinen auf Infizierte PCs ihre Aktionen zu verbergen
  Quelle: http://news.softpedia.com/news/intruder ... 7550.shtml

Die Frage die sich mir stellt, "Hat das auch Auswirkungen auf Zusatz Module wie z.b
BB und HIPS bei der Erkennung in einer Virtuellen Umgebung?

• Ich zweifel nicht am Test und dessen Ergebnisse in einer Virtuellen Umgebung!
  Sehe aber das in einer Virtuellen Umgebung vielleicht BB und Hips durch spezielle Malware
  vielleicht sich anderes Verhalten könnten wie auf einem Realem System.
  Und das ergibt sich einfach daraus das wir nichts über die VM und die Malware/Urls wissen.

trotzdem finde ich den Test interessant und hilfreich in Punkto 24 Stunden später und Behaviour Blocker (BB) und zu 2+4 die wenigsten Programme haben ein BB - schade das AVG nicht in dem Ransomware-Test aufgeführt ist

• Das sehe ich auch so Claudia, meine Einwende im Spolier sind glaube ich auch nicht ganz
  verkehrt.

Leider haben sie von den Großen meistens immer die Internet Security getestet, gerade hier hätte mich auch das Ergebnis vom AV + BB bzw. bei ESET NOD mit HIPS interessiert.

• Auch dir stimme ich hier zu.

Trotzdem finde ich den Test doch interessant, ist wie so oft natürlich nur eine Momentaufnahme.
Viele Nutzer verlassen sich halt blind auf ihre AV Schutzsoftware und erwarten die 100%ige Sicherheit.
Der Test ist eine reine Klick Aktion, ohne dass der ahnungslose Nutzer schon vorher im Kopf misstrauisch wird.
Trotzdem überrascht wie hier einige AV Programme gar nicht so dem üblichen Schema entsprechen.

Und genau das macht mich zu meinen Bedenken/Amerkungen misstrauisch

[Astor27]

Es ist nur ein Test wem bringen diese Test nutzen dem Produkt und worauf schauten die meisten normal User meist auf die Erkennung von Schädlingen wer ist da der beste wer findet am meisten , und diese Software wird dann meist gekauft. Das heute zu tage viel mehr als nur die Erkennung wichtig ist wissen die meisten normal Nutzer gar nicht.
mfg