Erschreckender Report in PC-WELT 10/08: "Schwache Sicherheitsleistung" für S&D

[LigH1L]

In der PC-WELT auf Seite 86 lese ich für Spybot - Search & Destroy:

...
Spybot S&D fand nur klägliche 1 bis 22 Prozent der Ad- und Spyware.
...
Die Erkennungsleistung von 55 Prozent der aktiven Ad- und Spyware war ebenso das schwächste Ergebnis wie die Reinigungsleistung von nur 8 Prozent.
...

Ich weiß nicht. Entweder jemand hat das Programm erst mal zer-konfiguriert, oder ihm Sachen vorgesetzt, gegen die es gar nicht gedacht ist. Oder seht ihr so einen Report als "leider zutreffend, unter den dort genannten Bedingungen"? -- Viele Details zu den Bedingungen kann ich allerdings auch nicht entdecken.

Grundsätzlich stimmt mich auch jeder Test nachdenklich, in dem Symantec's Norton AntiVirus als Sieger hervorgeht. Nennt mich "nicht ganz vorurteilsfrei" in der Hinsicht...

[PepiMK]

Symantec wär für mich auch eher nur so ein Testsieger beim Rechnerausbremsen, glaub aber das ist eigentlich nirgendwo offizielle Testdisziplin

Steht dort noch mehr zu den Testmethoden? Gab ja schon Tests, da wurde einfach irgendwo ein Verzeichnis mit Malware-Archiven, die ein Hersteller zur Verfügung gestellt hat, auf die Platte kopiert und dann gescannt, das wäre halt so ne Situation, wo Spybot bisher (Ausnahme weiter unten) schlecht abschneiden würde, ist halt eher auf "installierte" Malware ausgerichtet.

Komisch finde ich da dieses "55% der aktiven" im Vergleich zu "1-22%" ingesamt. Zum einen ist "1-22%" etwas ungenau, sind immerhin 21% Unterschied , zum anderen klingt das so als wurde tatsächlich nur ein Teil der Malware wirklich im Betrieb gesucht; bleibt die Frage ob für den Rest der Scan per Rechtsklick auf einen Ordner und "Scan using Spybot-S&D" verwendet wurde (der wäre für einzelne irgendwo hinkopierte und nicht aktive Malware wesentlich! besser geeignet)?

Kann natürlich sein, daß, gerade bei Erwähnung von "Norton AntiVirus", auch eine Vielzahl eher für AVs gedachte konventielle Viren dabeiwaren; gibt es in dem Artikel ne Übersicht so á la 20% Trojaner, 20% dies, 10% jenes, ...?

Ansonsten: jeder kann mitmachen um die Erkennungsqualität zu verbessern, muss ich nochmal Werbung machen für

[LigH1L]

Ich mach auch mit, wenn ich mal zu Hause bin, üblicherweise am Wochenende.
__

In der Tat hat das Finden von Installationsdateien 55% der Gesamtnote ausgemacht. Bei dieser Disziplin war sogar der Windows Defender erfolgreicher.

18.778 Adware-Installationsdateien hat man durchsuchen lassen (wahrscheinlich ist für ein solches Vorgehen in S&D das Setzen des "Downloadverzeichnisses" zu empfehlen). Dafür wurden 22% Erfolg aufgeführt. Lediglich 1% Erkennung gab es jeweils für die Disziplinen "Bankdaten-Spyware" (4.182 Dateien) und "Passwort-Spyware" (31.649 Dateien), sicherlich in Form von "Droppern".

Kaspersky 2009 schaffte hier 96-99%, Norton 2008 immerhin 87-99% (hat dann anscheinend noch mit "weichen Kriterien" wie der "Bedienung" aufgeholt; die "Systemanforderungen" gingen nur zu 5% ein, es hat ja heute jeder locker 303 MB frei). Ad-Aware Free und Spy Sweeper schnitten sogar schlechter in der Erkennung von Adware-Installern ab als S&D, während Microsoft Windows Defender besser sein sollte, auch wenn es nur nach Adware und nicht nach Spyware sucht.

Jeweils 100% Erkennungsrate schafften die "großen" (Kaspersky und Norton) bei 20 installierten und aktiven Schädlingen. Man muss vielleicht noch erwähnen, dass laut Eintrag im Kopf der Tabelle die Version 1.5.2 getestet wurde, der Heft-DVD aber schon die 1.6 beiliegt.

Fazit des Berichtes: Kostenlose Zweit-Scanner taugen nichts, im Vergleich zu kommerziellen Rundum-Paketen. Wer jedoch die Aktualität und Reaktionszeiten mancher kommerzieller Antivirus-Lösungen (insbesondere Symantec) kennt, weiß Alternativen hin und wieder zu schätzen. Mein Fazit wäre hier also: Traue keiner Statistik, die du nicht selbst gefälscht hast -- es ist möglich, Kriterien für Tests so festzulegen, dass bestimmte Anwendungen benachteiligt und andere bevorteilt werden.

[PepiMK]

Noch die 1.5.2? Oh

Mal schauen, die 1.6 ist Anfang Juli rausgekommen; gehen wir mal vom worst case (auf den folgenden Vergleich bezogen) aus, daß sie in der letzten Woche davor getestet haben, haben sie vermutlich mit dem Update vom 2. Juli getestet, das hatte 174.120 Erkennungsregeln.

Letzte Woche in der 1.6 dagegen hatten wir 290.002 Regeln. Das heißt, die 1.6 erkennt momentan mindestens 70% mehr als die geteste 1.5.2!

Wobei ich im Zusammenhang eines Testes sogar von mehr ausgehen würde, denn ein guter Test sollte imho die Erkennung aktueller Malware-Samples höher gewichten/mehr aktuelle Samples verwenden als etwa Uralt-Krams, der gar nicht mehr so im Umlauf ist, und der sprunghafte Anstieg nach Release der 1.6 kommt ja gerade daher, daß uns die 1.6 mehr Möglichkeiten gegen viele der aktuellen Bösewichter an die Hand gibt, ein Großteil der Regeln, die seit der 1.5.2 neu sind, bezieht sich also gerade auf die momentan aktivste Malware.

Naja, so ein großer Test kostet halt Zeit, ist vermutlich einfach etwas dumm gelaufen daß das zeitlich nicht mit der 1.6 passte

[SlashRose]

Wenn ich denn Test richtig Gelesen habe, wurde dort mit der 1.6 Getestet! War dort auch sehr Erstaunt über das Ergebnis dort und bin mir noch nicht ganz sicher wie ich diesen Test Bewerten soll. Hatte Wochenende mir denn Virtumonde Eingefangen, er wurde auch von Spybot jedesmal Erkannt und angeblich Gelöscht, doch nach dem Löschen mit Spybot war er sofort wieder da, obwohl ich Gelesen hatte das Spybot denn Virtumonde nicht nur Erkennt sondern auch Löschen soll, was ich aber nicht Bestättigen kann! Ansonsten hatte Spybot bisher aber alles Gelöscht was es Gefunden hatte!

[Dinole]

Hallo,

komisch ist nur, dass gerade hier

http://www.pcwelt.de/start/sicherhei...eit/index.html

Spybot - Search and Destroy wieder empfohlen wird.

Das soll dann Einer noch verstehen.

Viele Grüße

Michael

[raman]

Getestet wurde die 1.5.2, das ist etwas ungluecklich formuliert. Getestet wurde die 1.5.2 aber auf der cd/dvd ist die 1.6 zu finden.

[SlashRose]

Danke für die Info,hatte das dann Falsch Verstanden mit der Getesteten Version! Das ist aber genau das was ich meine,in denn einem Bericht wird Geschrieben keine gute Erkennung und in einem anderen Bericht Schreibt die gleiche Zeitung sehr gutes Prog gute Erkennung,durch so was wird der Anwender dermaßen Verunsichert das man dann überhaupt nicht mehr Weiss was man dann von dem Prog halten soll!

[spaddel]

..Hatte Wochenende mir denn Virtumonde Eingefangen..

mann(o) slashros(i)..als erfahrener Vireneinfänger..weiß mann DAS doch..

..er wurde auch von Spybot jedesmal Erkannt und angeblich Gelöscht..

z.B. löschen in der aktiven:

– Es injiziert folgende Datei in einen Prozess: %SYSDIR%\%siebenstellige zufällige Buchstabenkombination%.dll

Alle der folgenden Prozesse:
• explorer.exe
• WINLOGON.EXE

ADSPY/Virtumonde.B - Adware / Spyware..http://www.avira.com/de/threats/sect...tumonde.b.html

DAS..geht doch gar nich.. damit musste schon zu Onkel Raman..

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

AppInit_DLLs

Diese Sektion entspricht den Dateien die durch den AppInit_DLLs Registrierungswert und dem Winlogon anmelde Unterschlüssel geladen werden.

http://virus-protect.org/hijackthis.html#O20_Sektion

..Dies erschwert es ungemein eine DLL zu entfernen, da sie mit mehreren Prozessen gestartet wird, von denen einige nicht gestoppt werden können ohne Systeminstabilität hervor zu rufen..

(oder beim näxten Booten..also am Besten noch vor dem Einlochen..löschen..´ne)

..Erkennt sondern auch Löschen soll, was ich aber nicht Bestättigen kann!

tja..und somit überfordern manche "Reiniger"-Progi´s..so manchen Anwänder eben auch..
(im 21.Pizeh-"Reiniger"-Jahrhundert..v.Chr...´do)

denn.."es" hat bestimmt auch so (ähnlich) ausgesehen..bei Dir..

oder so..

also in solchen "Fällen" am besten nich sooviel in der "Pizeh-Wäld" lesen..
dafür lieber öfter mal im Installations-Handbuch.. des Pizeh-Herstellers seines Vertrauens !

oder mann nutzt den.... (Tea-Timer auch..)

nich pitiiii.....................................................

[Digit]

Laut COM! wird beim Scan im abgesicherten Modus mehr von SS&D gefunden.

Ob das grundsätzlich für alle Virenscanner gilt ? Da dort einige Prozesse nicht gestartet sind