atwee,

Hoe meer tests er zijn hoe beter dat is. Maar niet elk programma werkt op dezelfde manier, waardoor de resultaten van diverse programma's flink kunnen verschillen in een en dezelfde test.

Test 1 en 2 moeten in theorie voor elk Anti-Malware programma wel erg makkelijk zijn. Het Eicar bestand is daadwerkelijk een bestand dat door alle Anti-Malware programma's gedetecteerd moet worden. Dit is al vele jaren geleden afgesproken.

Test 3 omvat het downloaden van een onschuldig bestand dat volgens AMTSO door vele Anti-Malware programma's gedetecteerd dient te worden wanneer de optie om PUA/PUP te detecteren is ingeschakeld. Emsisoft Anti-Malware heeft geen aparte optie voor PUP/PUA, wel een Riskware detectie die kan worden ingeschakeld. Toch wordt het bestand gedetecteerd door Emsisoft Anti-Malware als Application.AMTSOPUATest.A (B) en die (B) wil zeggen dat dit door middel van een Bitdefender definitie wordt gedetecteerd. Detectie op VirusTotal is op dit moment 26/47 waarbij je niet weet of detectie van PUA/PUP is ingeschakeld bij alle scanners daar.

Test 4 reageert Emsisoft niet op omdat Emsisoft Anti-Malware's surfbeveiliging werkt door middel van een database met phishingdomeinen die elk uur wordt bijgewerkt. Het domein van amtso.org is geen phishing domein en wordt dus niet geblokkeerd. Zo simpel is het eigenlijk

Test 5 wordt een lang verhaal en gaat over de detectie van een bepaald bestand (eigenlijk de hash van dat bestand) via de 'cloud'. Wanneer het testbestand cloudcar.exe wordt gedownload dan zal dit wel worden gecontroleerd door Emsisoft Anti-Malware middels de lokale malwaredefinities. Het zou erg simpel zijn om gewoon een definitie toe te voegen die dit bestand detecteert, maar dat is niet de bedoeling van deze test. Het is de bedoeling dat dit bestand alleen gedetecteerd wordt via informatie uit de 'cloud'.

Nu werkt Emsisoft Anti-Malware wel met een eigen 'cloud', namelijk het Emsisoft Anti-Malware Network. De informatie is ook te raadplegen via http://www.isthisfilesafe.com/
Echter, deze informatie wordt alleen gebruikt wanneer een bestand een mogelijk schadelijk gedrag vertoond. Dan wordt dit gedrag tijdelijk geblokkeerd en wordt in de 'cloud' gekeken welke informatie over dit bestand beschikbaar is. Afhankelijk van de instellingen in Emsisoft Anti-Malware wordt een bepaald gedrag dan automatisch toegestaan of geblokkeerd als meer dan xx% van de gebruikers dit gedrag ook had toegestaan of geblokkeerd. Of, als men geen gebruik maakt van de gemeenschappelijke meldingreductie in Emsisoft Anti-Malware, dan verschijnt er een popup met de vraag of je een bepaald gedrag wilt toestaan, blokkeren etc. Wanneer het bestand als malware bekend is in onze 'cloud' dan wordt dit natuurlijk ook getoond in de popup.
Het probleem met dit cloudcar.exe testbestand is, dat het helemaal geen mogelijk schadelijk gedrag vertoont wanneer het wordt gestart. Daarom wordt het ook niet gecontroleerd in onze eigen 'cloud' en verschijnt er ook geen popup over een mogelijk schadelijk gedrag.

Wanneer ook Online Armor is geïnstalleerd dan kan wel redelijk makkelijk gebruik worden gemaakt van de informatie over dit bestand in onze eigen 'cloud'.



Wanneer je in die popup van Online Armor klikt op de bestandsnaam cloudcar.exe verschijnt deze informatie in je browser.

Emsisoft Nederland.

Bedankt voor het niet mis te verstane en uitgebreide antwoord.

atwee

atwee,

Graag gedaan.
Ik bekeek net op VirusTotal de detectie van het cloudcar testbestand en ontdekte dat in ieder geval 1 AV aan het valsspelen is omdat die AV helemaal geen gebruik maakt van een 'cloud' en het bestand toch detecteert als een testbestand.