Schlechte Zeroday-Erkennungsraten aktueller Virenscanner

Die folgende Grafik zeigt die Erkennungsrate von neuen Schädlingen (Zeroday) durch 20 Virenscanner:

Die Ergebnisse sind nicht sehr aufbauend. Nur neun Scanner schaffen eine Quote über 40 Prozent. Der Rest erkennt etwa nur jeden Dritten neuen Schädling. Das ist viel zu wenig.

Die Grafik stammt von OITC, einem australischen Unternehmen, von dem ich allerdings noch nie gehört habe. Die Webseite wirkt auch etwas altbacken. Wie auch immer, die Methodik hinter der Grafik ist interessant. Nach eigenen Angaben lädt OITC brandneue Schädlinge bei Virustotal hoch und wertet die Ergebnisse aus.

The statistics available here are radically different than those that assess an antivirus system’s performance against a reference database of malware nor do they reflect what many antivirus vendor representatives wish to portray.

Sich nur auf Virustotal zu verlassen, ist jedoch etwas problematisch. Der spanische Online-Scanner erkennt Schädlinge nur per Signatur oder Heuristik. Eine verhaltensbasierte Erkennung, wie sie immer mehr Antiviren-Hersteller in ihre Produkte einbauen, ist nicht möglich, da die hochgeladenen Dateien ja nicht ausgeführt werden.

Genauere Zahlen zu den Erkennungsraten finden sich hier.

Die Schädlinge stammen laut OITC übrigens aus mehreren Windows-Honeypots des MIRT-Teams (Malware Incident Reporting & Termination) von Castlecops und einem OITC-Honeypot auf Linux-Basis.

MIRT collects malware by using honeypots installed with XP SP1, with no updates, no anti-malware, no firewall and Java 1.4.2. OITC uses email traps to collect malware as well as a Linux honeypot configured with an old, insecure out of the box distro with webserver and other services enabled.

Weitere Beiträge zum Thema:
Neuer Virenscanner-Test von AV-Test.org
Virustotal entfernt “Do not distribute”-Option
32facher Virencheck mit Virustotal

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.