Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Woher bekommen die Antivirenhersteller ihre Samples?

0 views
Skip to first unread message

Rainer Sokoll

unread,
May 2, 2006, 4:15:13 AM5/2/06
to
Hallo,

das Subject sagt eigentlich alles :-)
Ein paar wilde Überlegungen:
Neue Malware erkennt logischerweise kaum ein Antivirenprogramm. Die
Einschränkung "kaum", weil möglicherweise ja das blinde Huhn Heuristik
doch zufälligerweise etwas findet.
Wenn nun doch etwas neues detektiert wird, haben komischerweise(?) alle
Hersteller in relativ kurze Zeit Pattern-Updates. Ich denke aber kaum,
daß sie ihre Konkurrenz mit Samples versorgen, schließlich besteht das
Geschäftsmodell ja gerade darin, die Konkurrenz möglichst weit hinter
sich zu lassen.
Nicht ausschließen kann man auch, daß die Hersteller ähnlich der GVU
mit fraglichen Mitteln arbeiten, aber das sind alles nur Vermutungen.
Weiß jemand was Genaueres?

Rainer

Gabriele Neukam

unread,
May 2, 2006, 4:29:05 AM5/2/06
to
On that special day, Rainer Sokoll, (rai...@sokoll.com) said...

> Wenn nun doch etwas neues detektiert wird, haben komischerweise(?) alle
> Hersteller in relativ kurze Zeit Pattern-Updates. Ich denke aber kaum,
> daß sie ihre Konkurrenz mit Samples versorgen,

Doch, tun sie. Lies mal eine Weile in den internationalen
Antivirengruppen mit, dort erfährt man es ab und zu.

Abgesehen davon gibt es viele Wege. Wer etwas Verdächtiges gefunden
hat, kann es auch einschicken, entweder gezielt oder auch an Virustotal
(www.jotti.org) oder Virusscan, die sämtliche Scanner online bereit
halten, damit man sozusagen eine "statischtische Aussage" erhält, ob
die fragliche Datei wirklich gefährlich ist.

Der Austausch ist inzwischen notwendig, denn jeder Antivirenhersteller
wird irgendwann einmal "sein" Sample erst spät von einem Kunden
erhalten, und deswegen mit seinen Updates hinterher hinken. Durch den
Austausch gewinnen alle, denn es kann gut sein, dass man bei einem Fall
sofort das Muster hat, aber beim nächsten nur durch einen anderen aus
der Branche an eines heran kommt.

Wer sich zu wichtig findet und im Tauschring nicht mit macht, kann
ziemlich schnell seine Kundschaft verlieren, also beteiligt man sich,
auch wenn es nicht immer gerne geschehen mag.


Gabriele Neukam

Gabriele.Spam...@t-online.de


--
Ah, Information. A property, too valuable these days, to give it away,
just so, at no cost.

Juergen P. Meier

unread,
May 2, 2006, 6:11:20 AM5/2/06
to
Rainer Sokoll <rai...@sokoll.com>:

> das Subject sagt eigentlich alles :-)
> Ein paar wilde Überlegungen:
> Neue Malware erkennt logischerweise kaum ein Antivirenprogramm. Die
> Einschränkung "kaum", weil möglicherweise ja das blinde Huhn Heuristik
> doch zufälligerweise etwas findet.
> Wenn nun doch etwas neues detektiert wird, haben komischerweise(?) alle
> Hersteller in relativ kurze Zeit Pattern-Updates. Ich denke aber kaum,
> daß sie ihre Konkurrenz mit Samples versorgen, schließlich besteht das

Falsch gedacht. Genau das tun sie. Allerdings nur mit den Samples,
nicht mit ihren jeweilig daraus gewonnenen Signaturen.

> Geschäftsmodell ja gerade darin, die Konkurrenz möglichst weit hinter
> sich zu lassen.

Nein. Das Geschaeftsmodell besteht darin, moeglichst laut und
auffaellig Marketing fuer das eigene Produkt zu betreiben.

> Nicht ausschließen kann man auch, daß die Hersteller ähnlich der GVU
> mit fraglichen Mitteln arbeiten, aber das sind alles nur Vermutungen.

Und die sind so alt wie die die Branche.

> Weiß jemand was Genaueres?

Frag doch mal den AV-Vendor deines geringsten Mistrauens.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Florian Weimer

unread,
May 2, 2006, 9:35:02 AM5/2/06
to
* Rainer Sokoll:

> Wenn nun doch etwas neues detektiert wird, haben komischerweise(?) alle
> Hersteller in relativ kurze Zeit Pattern-Updates. Ich denke aber kaum,
> daß sie ihre Konkurrenz mit Samples versorgen, schließlich besteht das
> Geschäftsmodell ja gerade darin, die Konkurrenz möglichst weit hinter
> sich zu lassen.

Es gibt Firmen, die eine Interesse daran haben, daß bestimmte Arten
von Malware von möglichst vielen AV-Herstellern erkannt werden. Diese
Firmen stellen Malware-Archive bereit, die mit den üblichen Methoden
(Spamtraps usw.) erstellt werden.

Gabriela Salvisberg

unread,
May 2, 2006, 4:48:49 PM5/2/06
to
Rainer Sokoll <rai...@sokoll.com> wrote:

>das Subject sagt eigentlich alles :-)

[Woher bekommen die Antivirenhersteller ihre Samples]

Abgesehen vom Austauschen von Samples zwischen AV-Herstellern (z.B.
REVS [1]) und dem Einsenden von Samples durch User (z.B.
virustotal.com oder direkt per Mail) haben die AV-Hersteller auch
viele Spam- bzw. Virenfallen am Laufen.

[1]
http://www.sophos.de/pressoffice/news/articles/2000/05/pr_20000503revs.html

Gaby

0 new messages