False Alarm Test September 2016

Einführung

Dieser Bericht ist als Ergänzung im File Detection Test September 2016 zu finden und bietet eine Auflistung von Details zu den entdeckten Fehlalarmen.

Bei AV-Tests ist es wichtig, nicht nur die Erkennungsfähigkeit, sondern auch die Zuverlässigkeit zu messen. Ein Aspekt der Zuverlässigkeit ist die Fähigkeit, saubere Dateien als solche zu erkennen und keine Fehlalarme (False Positives) zu erzeugen. Kein Produkt ist vor False Positives (FPs) gefeit, aber einige produzieren mehr als andere, und unser Ziel ist es, herauszufinden, welche Programme in dieser Hinsicht am besten abschneiden. Es gibt keine vollständige Sammlung aller legitimen Dateien, die es gibt, und daher kann kein "ultimativer" Test von FPs durchgeführt werden. Was jedoch möglich und sinnvoll ist, ist die Erstellung und Verwendung eines Satzes von sauberen Dateien, die unabhängig voneinander gesammelt werden. Wenn mit einem solchen Satz ein Produkt z. B. 30 FPs hat und ein anderes nur 5, ist es wahrscheinlich, dass das erste Produkt anfälliger für FPs ist als das andere. Das bedeutet nicht, dass das Produkt mit 5 FPs insgesamt nicht mehr als 5 FPs hat, aber es ist die relative Zahl, die wichtig ist.

Geprüfte Produkte

• Avast Free Antivirus 12.3Build: 12.3.2280
• AVG Internet Security 2016Build: 2016.101.7752
• Avira Antivirus Pro 15.0Build: 15.0.19.164
• Bitdefender Internet Security 20.0Build: 20.0.29.1517
• BullGuard Internet Security 16.0Build: 16.0.323
• Emsisoft Anti-Malware 11.10Build: 11.10.6563
• eScan Internet Security 14.0Build: 14.0.1400.1849
• ESET Smart Security 9.0Build: 9.0.402
• F-Secure SAFE 14.165Build: 14.165.102
• Fortinet FortiClient 5.4Build: 5.4.1.0840
• Kaspersky Internet Security 17.0Build: 17.0.0.611 (a)
• Lavasoft Ad-Aware Pro 11.12Build: 11.12.945.9202
• McAfee Internet Security 18.0Build: 18.0.7058
• Microsoft Defender 4.9Build: 4.9.10586.494
• Quick Heal Total Security 17.0Build: 17.00.10.0.1.8
• Sophos Endpoint Security and Control 10.6Build: 10.6.3.537
• Tencent PC Manager 11.6Build: 11.6.26275.901
• ThreatTrack Vipre Internet Security Pro 9.3Build: 9.3.6.3
• Trend Micro Internet Security 10.0Build: 10.0.1288

Testverfahren

Um den Benutzern mehr Informationen über die Fehlalarme zu geben, versuchen wir, die Prävalenz der Fehlalarme zu bewerten. Dateien, die digital signiert wurden, werden als wichtiger eingestuft. Daher wird eine Datei mit z.B. Prävalenz "Stufe 1" und einer gültigen digitalen Signatur auf die nächste Stufe (z.B. Prävalenz "Stufe 2") hochgestuft. Dateien, die laut mehreren Telemetriequellen eine Prävalenz von Null aufwiesen, wurden den Anbietern zur Verfügung gestellt, um sie zu korrigieren, wurden aber auch aus dem Satz entfernt und wurden nicht als Fehlalarme gezählt.

Die Prävalenz wird in fünf Kategorien angegeben und mit den folgenden Farben gekennzeichnet: 

Level		Geschätzte Anzahl der betroffenen User	Kommentare
1		Wahrscheinlich weniger als Hundert User	Einzelfälle, alte oder selten genutzte Dateien, sehr geringe Prävalenz
2		Wahrscheinlich mehrere Hundert User	Die initiale Verbreitung solcher Dateien war wahrscheinlich viel höher, aber die derzeitige Nutzung auf aktuellen Systemen ist geringer (trotz ihres Vorhandenseins), weshalb auch bekannte Software nur noch eine Verbreitung von einigen Hundert oder Tausend Nutzern haben bzw. betreffen.
3		Wahrscheinlich mehrere Tausend User
4		Wahrscheinlich mehrere Zehntausend (oder mehr) User
5		Wahrscheinlich mehrere Hunderttausend oder Millionen User	Solche Fälle werden bei einem False-Alarm Test, der zu einem bestimmten Zeitpunkt durchgeführt wird, wahrscheinlich sehr viel seltener auftreten, da solche Dateien in der Regel entweder auf einer Whitelist stehen oder sehr schnell bemerkt und behoben werden würden.

Die meisten Fehlalarme werden wahrscheinlich in die ersten beiden Stufen fallen. Unserer Meinung nach sollten Antivirenprodukte keine Fehlalarme bei allen Arten von sauberen Dateien auslösen, unabhängig davon, wie viele Benutzer derzeit davon betroffen sind. Auch wenn einige AV-Anbieter das Risiko von Fehlalarmen herunterspielen und das Risiko von Malware hochspielen, werden wir Produkte nicht auf der Grundlage der angeblichen Prävalenz von Fehlalarmen bewerten. Wir lassen bereits eine bestimmte Anzahl von Fehlalarmen (derzeit 10) innerhalb unseres sauberen Satzes zu, bevor wir anfangen, Punkte abzuziehen. Unserer Meinung nach ist es bei Produkten, die eine höhere Anzahl von Fehlalarmen produzieren, auch wahrscheinlicher, dass sie Fehlalarme bei häufigeren Dateien (oder in anderen Sätzen von sauberen Dateien) produzieren. Die Prävalenzdaten, die wir für saubere Dateien angeben, dienen nur zu Informationszwecken. Die angegebene Prävalenz kann innerhalb des Berichts abweichen, je nachdem, bei welcher Datei/Version der Fehlalarm auftrat und/oder wie viele Dateien derselben Art betroffen waren.

Testfälle

Alle aufgeführten Fehlalarme traten zum Zeitpunkt der Prüfung auf. Falsche Alarme, die durch unverschlüsselte Datenblöcke in Antiviren-Dateien verursacht wurden, wurden nicht gezählt. Wenn ein Produkt mehrere Fehlalarme hatte, die zu derselben Software gehören, wird es hier nur als ein Fehlalarm gezählt. Cracks, Keygens usw. oder andere höchst fragwürdige Tools, einschließlich FPs, die in erster Linie von Anbietern (die mehrere Tausend sein können) oder anderen nicht unabhängigen Quellen verbreitet werden, werden hier nicht als Fehlalarme gezählt.

Test-Ergebnisse

Bei einigen Produkten, die Engines/Signaturen von Drittanbietern verwenden, kann es zu weniger oder mehr Fehlalarmen kommen als bei der lizenzierten Engine selbst, z. B. aufgrund unterschiedlicher interner Einstellungen, zusätzlicher Prüfungen/Engines/Clouds/Signaturen, Whitelist-Datenbanken, zeitlicher Verzögerungen zwischen der Freigabe der ursprünglichen Signaturen und der Verfügbarkeit der Signaturen für Produkte von Drittanbietern, zusätzlicher Qualitätssicherung der Signaturen vor der Freigabe usw.

False Positives (FPs) sind ein wichtiges Maß für die AV-Qualität. Eine FP-Meldung von einem Kunden kann zu einem hohen Aufwand an Technik und Support führen, um das Problem zu beheben. Manchmal kann dies sogar zu erheblichen Datenverlusten oder zur Nichtverfügbarkeit des Systems führen. Selbst "unbedeutende" FPs (oder FPs in alten Anwendungen) verdienen Erwähnung und Aufmerksamkeit, da FPs wahrscheinlich das Ergebnis von prinzipiellen Regelerkennungen sind. Es ist einfach passiert, dass die FP eine unbedeutende Datei betraf. Die FP-Möglichkeit ist wahrscheinlich immer noch im Produkt vorhanden und könnte in einer wichtigeren Datei erneut eine FP verursachen. Daher verdienen sie immer noch eine Erwähnung und eine Bestrafung. Nachfolgend finden Sie die Fehlalarme, die wir in unserem unabhängigen Satz von sauberen Dateien beobachtet haben. Rote Einträge markieren Fehlalarme bei Dateien, die digital signiert wurden.

1.	ESET, Fortinet, Trend Micro	0	sehr wenige FPs
2.	Bitdefender, Lavasoft	2	wenige FPs
3.	Avira, BullGuard, eScan, Kaspersky, Sophos, ThreatTrack	3
4.	Tencent	4
5.	Emsisoft, McAfee	5
6.	F-Secure, Quick Heal	6
7.	Microsoft	12	viele FPs
8.	AVG	19
9.	Avast	28

Details zu den aufgedeckten Fehlalarmen

ESET, Fortinet und Trend Micro hatte keine Fehlalarme bei den verwendeten sauberen Dateien.

Bitdefender		2 Falsche Alarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
Herold-Paket	Gen:Variant.Symmi.67713
Sony package	Gen:Variant.Razy.30991

 

Lavasoft		2 Falsche Alarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
Herold-Paket	Gen:Variant.Symmi.67713
Sony package	Gen:Variant.Razy.30991

 

Avira		3 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
AutoIt-Paket	TR/SelfDel.ec1900
Igel-Paket	HEUR/APC
Vuex package	TR/Agent.89584.12

 

BullGuard		3 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
Herold-Paket	Gen:Variant.Symmi.67713
Schnelles Paket	Gen:Variant.Symmi.64277
Sony package	Gen:Variant.Razy.30991

 

eScan		3 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
Herold-Paket	Gen:Variant.Symmi.67713 (DB)
Schnelles Paket	Gen:Variant.Symmi.64277 (DB)
Sony package	Gen:Variant.Razy.30991 (DB)

 

Kaspersky Lab		3 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
A1-Paket	Trojan.Win32.Llac.lbpa
AutoIt-Paket	Trojan.Win32.SelfDel.cfzt
WinTuning-Paket	UDS:DangerousObject.Multi.Generic

 

Sophos		3 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
FreeDM-Paket	Mal/Generikum-S
PersonDJ-Paket	Mal/Zbot-UM
Profe-Paket	Mal/Generikum-S

 

ThreatTrack		3 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
Herold-Paket	Gen:Variant.Symmi.67713
Schnelles Paket	Gen:Variant.Symmi.64277
Sony package	Gen:Variant.Razy.30991

 

Tencent		4 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
Crossfire-Paket	Gen:Variant.Mikey.53043
Herold-Paket	Gen:Variant.Symmi.67713
Schnelles Paket	Gen:Variant.Symmi.64277
Sony package	Gen:Variant.Razy.30991

 

Emsisoft		5 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
GxTrans-Paket	Trojan.Generic.7464985
Herold-Paket	Gen:Variant.Symmi.67713
Orangefarbenes Paket	Trojan.Sinowal.Gen.1
Schnelles Paket	Gen:Variant.Symmi.64277
Sony package	Gen:Variant.Razy.30991

 

McAfee		5 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
BTRV-Paket	RDN/Generic.com
Pegasys-Paket	Artemis!c5e21bed1b70
Siedler-Paket	Artemis!32c50b75be89
TCHunt-Paket	Artemis!5f94359c18d6
Vuex package	Artemis!94a9fa418324

 

F-Secure		6 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
FinePrint-Paket	Trojan:W32/Gen4135.1fc23018e8!Online
GxTrans-Paket	Trojan.Generic.7464985
Herold-Paket	Gen:Variant.Symmi.67713 (DB)
InstantPlayer package	Trojan:W32/BitCoinMiner.J
Orangefarbenes Paket	Trojan.Sinowal.Gen.1
Schnelles Paket	Gen:Variant.Symmi.64277 (DB)

 

Quick Heal		6 Falsche Alarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
Crossfire-Paket	EE:Malwr.Heur.Mikey.53043
GXTrans-Paket	EE:Malware.Generic.7464985
Herold-Paket	EE:Malwr.Heur.Symmi.67713
Orangefarbenes Paket	EE:Trojan.Sinowal.Gen.1
Schnelles Paket	EE:Malwr.Heur.Symmi.64277
Sony package	EE:Malwr.Heur.Razy.30991

 

Microsoft		12 Falsche Alarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
Amok package	Trojan:Win32/Rundas!plock
CDDVDBurner-Paket	Trojan:Win32/Rundas!plock
eZip-Paket	Trojan:Win32/Rundas!plock
MinScout-Paket	Trojan:Win32/Dynamer!ac
PEbuilder-Paket	Trojan:Win32/Dynamer!ac
SL package	Trojan:Win32/Dynamer!ac
Snow package	Trojan:Win32/Rundas!plock
Star-Paket	Trojan:Win32/Dynamer!ac
SUSD-Paket	Trojan:Win32/Rundas!plock
Wetterstation-Paket	Trojan:Win32/Dynamer!ac
WildTangent package	Trojan:Win32/Dorv.D!rfn
xCAT-Paket	Trojan:Win32/Dynamer!ac

 

AVG		19 Fehlalarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
ARCAD-Paket	Win32/Herz.A
Atomares Paket	Win32/DH{IyQl?}
Brother-Paket	Allgemein_s.HNM
Casino-Paket	Krypt_s.LAG
Clipsave-Paket	Allgemein_s.IGI
CoffeeFTP-Paket	Win32/DH{CA?}
Verzögerungspaket	Luhe.Fiha.A
Paket DigitaleBibliothek	PSW.Banker7.OSM
Divx package	BackDoor.Generic19.AIUS
EOC-Paket	Atros3.AWYT
HP package	Crypt5.AWRU
IBM package	Generic_s.HVM
Kinstone-Paket	Win32/Herz.B
MyWinLocker-Paket	Generisch37.BELF
Norton package	Allgemein_r.MFR
Presto-Paket	Allgemein_s.HNM
Roboform-Paket	Allgemein_s.ILT
Sygate-Paket	Win32/Herz.B
WildTangent package	Allgemein_r.IGQ

 

Avast		28 Falsche Alarme
Fehlalarm in einigen Teilen von	Erkannt als	Voraussichtliche Prävalenz
3COM-Paket	FileRepMalware
Acer-Paket	FileRepMalware
ActualWindowsManager-Paket	Win32:Evo-gen [Susp]
Adobe package	Win32:Evo-gen [Susp]
Cluster-Paket	Win32:Evo-gen [Susp]
ColorEfex-Paket	Win32:Evo-gen [Susp]
DateInTray-Paket	Win32:Evo-gen [Susp]
DirectX package	Win32:Malware-gen
EuroRoute-Paket	Win32:Evo-gen [Susp]
FLV package	Win32:Evo-gen [Susp]
HP package	FileRepMalware
ISO2USB-Paket	FileRepMetagen [Malware]
JBTray-Paket	Win32:Evo-gen [Susp]
LetsTrade-Paket	Win32:Evo-gen [Susp]
LiteStep-Paket	FileRepMalware
Logik package	Win32:Evo-gen [Susp]
Matrox-Paket	Win32:Evo-gen [Susp]
Geld-Paket	Win32:Evo-gen [Susp]
MP3pooler-Paket	Win32:Evo-gen [Susp]
MyHints-Paket	Win32:Evo-gen [Susp]
RibbonCreator-Paket	Win32:Dropper-gen [Drp]
SafetyBrowser-Paket	Win32:Malware-gen
StarOffice-Paket	Win32:Evo-gen [Susp]
TrendMicro-Paket	Win32:Evo-gen [Susp]
TurboSliders-Paket	Win32:Evo-gen [Susp]
VOO3OC-Paket	Win32:Evo-gen [Susp]
Vuex package	FileRepMetagen [Malware]

 

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2016 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Oktober 2016)