Norton Antivirus 2010, Ich bin enttäuscht Einstellungen

[xri12]

Soa ich hab jetzt die Dateien unter NIS2010 getestet.
Im Anhang waren 2 Stück, hoffe Web.de hat nichts rausgelöscht da es eine Warnmeldung angezeigt hat.
Beide habe ich ausgeführt und nach kurzer Zeit hat Sonar ausgeschlagen und die Ausführung verhindert:


Hier noch die Ergebnisse von Virustotal:
http://www.virustotal.com/de/analisis/aefe...678f-1258131308
http://www.virustotal.com/de/analisis/f500...cf68-1258131298

Also diese beiden Samples hätte zwar der Scanner übersehen, aber Sonar hätte einen trotzdem geschützt.

[Gast_Metabolit_*]

So, hättest Du jetzt noch a2 mit auf dem Rechner - und dein Rechner wird dadurch nicht lahm - wäre auch das 2. gefunden worden.

[xri12]

So, hättest Du jetzt noch a2 mit auf dem Rechner - und dein Rechner wird dadurch nicht lahm - wäre auch das 2. gefunden worden.

Sind ja beide "gefunden" worden
Und wie hätte sich a² verhalten wenn es für die beiden Samples keine Signatur gehabt hätte?

[Voyager]

@SebastianLE

Wie ist das Insight jetzt einzuschätzen - als eine Hauptquelle für Symantec zur Entdeckung unbekannter Dateien?

Ich würde das nicht als Hauptquelle bezeichnen , Symantec hat auch eigene Honeypots . Bei Social Network Malware ist Insight aber eher als Hauptquelle anzusehen , logisch weil irgend jemand muss es erstmal von der Seite runterziehen.

Und es greift nur/hauptsächlich beim Download?

Bei Social Network Malware (Was den größten Teil der Malware ausmacht) muss man es von Hand downloaden .

Nur weil Dateien ohne Insight-Prüfung heruntergeladen wurden sollen sie ungefährlich sein?

Hier spreche ich von Datei-Downloads auf PCs wo kein Norton drauf ist. Ich hab nicht gesagt das die Dateien ansich ungefährlich sind , ich hab gesagt "Malware die unter dem Radar (des Netzwerkes der Norton-Benutzer) bleibt richtet beim User auf dem ZielPC auch keinen wirklichen Schaden an , somit ist die Wahrscheinlichkeit hoch das die Forenobjekte keine große Rolle spielen und kein so ein Theater rechtfertigen." .


Edit: Social Network Malware = Social Engineering Malware , eigentlich war das zweite gemeint . Also Dateien und Objekte die man unter gefälschten Vorrausetzungen aus dem Internet lädt , zb. Fakecodecs und Fake-AVs.

Der Beitrag wurde von Voyager bearbeitet: 13.11.2009, 19:46

[SLE]

Danke voyager,

Das Symantec genug andere (und wichtigere) Quellen hat weiss ich natürlich .

Ich sehe nur ehrlich gesagt bei Insight nicht ganz durch, was aber sicher auch daran liegt, dass das ganze System noch irgendwie im Aufbau ist.

Gerade die Insight Details, die man für heruntergeladene Dateien anzeigen kann finde ich (zumindest optisch) sehr gut.
Es wäre genial, wenn die eben nicht nur für heruntergeladene Dateien geht, sondern noch nicht geprüfte dann gleich optional in der Symantec Cloud geprüft werden würden. Weil mit dem Nutzerkreis den Symantec hat, könnten Sie IMO eine der mächtigsten Cloud Lösungen aufbauen.

[Gast_Metabolit_*]

Sind ja beide "gefunden" worden
Und wie hätte sich a² verhalten wenn es für die beiden Samples keine Signatur gehabt hätte?

a2 braucht nicht immer "nur" Signaturen. Es greift spätestens beim Zugriff auf eine solche Datei zu und verwehrt und/oder warnt auf schadhaftes Verhalten.
Wenn man dann noch den Paranoid Modus einschaltet - nein die Performance geht nicht in den Keller ) ist man sehr gut geschützt. OK , der gesunde Menschenverstand sollte auch hier dabei sein.

Ich persönlich kann der Kombi NIS 2010 und a2 nur meine Empfehlung aussprechen. Sehr gute Kombi !

Der Beitrag wurde von Metabolit bearbeitet: 13.11.2009, 18:25

[Voyager]

@SebastianLE

Es wäre genial, wenn die eben nicht nur für heruntergeladene Dateien geht, sondern noch nicht geprüfte dann gleich optional in der Symantec Cloud geprüft werden würden.

Downloads werden immer Online gegengeprüft.


http://www.abload.de/img/2_1ykar.jpg

Weil mit dem Nutzerkreis den Symantec hat, könnten Sie IMO eine der mächtigsten Cloud Lösungen aufbauen.

Sehe ich auch so , Windows Dateien hat einen Nutzerkreis von Millionen Benutzern in der Norton Community angezeigt. Wenn man jetzt unbewertete Dateien im Download hat mit einen angezeigten Nutzerkreis unter 10 Benutzer dann ist die Malware (wenns welche ist) als nicht bedrohlich einzustufen. Aber auch hier werden viele Dateien gleich oder später als Malware erkannt die mit weniger als 10 Benutzer in der Community angezeigt wird. Da ich auch aus Erfahrung weiss das von Hand über Websubmit eingereichte Malware nur bei Faulpelzen in der Firma landet die unbearbeitet bleibt muss man davon ausgehen das Insight hier ein Großteil der Klassifizierung von Malware ausmacht. Ich sende schon lange nichtsmehr ein.

Der Beitrag wurde von Voyager bearbeitet: 13.11.2009, 18:38

[Rene-gad]

Soa ich hab jetzt die Dateien unter NIS2010 getestet.

Danke fürs Testen

Beide habe ich ausgeführt und nach kurzer Zeit hat Sonar ausgeschlagen

Wie kurz/lang war diese Zeit?
bzw: heute früh wurde nur eine von 7 in die Signaturen aufgenommen, ich habe sie alle gestern gegen Mittag an Symantec geschickt.

Also diese beiden Samples hätte zwar der Scanner übersehen, aber Sonar hätte einen trotzdem geschützt.

Geschützt wohl kaum, aber reagiert.
Um festzustellen, ob es hier um eine Platz- oder Kampfpatrone handelt, muss man nicht unbedingt russisches Roulette spielen, oder?
Ich habe NAV deinstalliert, Removal Tool durchgejagt, KAV ohne Meckern wieder installiert.
Ist noch ein fettes Plus für Symantec
EOD

Der Beitrag wurde von Rene-gad bearbeitet: 14.11.2009, 13:36

[xri12]

Wie kurz/lang war diese Zeit?

Vll 5-10 Sekunden; ich hab schon gedacht die Dateien wären defekt oder im Hintergrund ausgeführt, aber dann meldete sich Sonar.

Geschützt wohl kaum, aber reagiert.
Um festzustellen, ob es hier um eine Platz- oder Kampfpatrone handelt, muss man nicht unbedingt russisches Roulette spielen, oder?

Naja klar ist es keine gute Methode eine infizierte Datei erst einmal auszuführen um herauszufinden ob man geschützt ist, aber andererseits wenn man eh schon weiss dass es sich um eine infizierte Datei handelt kann man sie doch gleich löschen.
Einem normalen User hätten diese beiden Dateien auf alle Fälle nicht gefährlich werden können und darauf kommts doch an.
Das ist doch auch der Sinn eines Proaktiven Schutzes, den PC vor Bedrohungen zu schützen wofür es noch keine Signaturen gibt,oder?
Wäre die Erkennungsrate bei 100% könnte man sich das ganze doch gleich sparen.

Der Beitrag wurde von xri12 bearbeitet: 14.11.2009, 13:49

[winchester]

Na da wünsche ich Dir viel Glück mit KAV das es nichts übersieht,ist aber eher unwahrscheinlich.

[Rene-gad]

Na da wünsche ich Dir viel Glück mit KAV

Danke
NB:Vom Einsatz diesen oder jenen Antivirus wird man kaum glücklicher oder umgekehrt.

das es nichts übersieht,ist aber eher unwahrscheinlich.

Da gebe ich Dir 100% recht: einen absoluten Schutz gibt es nicht. Man sollte hier klipp und klar nicht unwahrscheinlich, aber unmöglich sagen.
Wenn man aber eine verdächtige Datei zu Avira oder KAV-Labor schickt und der Verdacht sich bestätigt, ist die aktualisierte Signatur innerhalb kürzester Zeit veröffentlicht.
Über Symantec kann man das nicht sagen, leider.

OT: Genauso schlechte Erfahrungen habe ich mittlerweile nur mit dem Labor von ESET erlebt.

[Aasblume]

Denn Tausch verstehen bestimmt viele nicht Aber wenn Rene-gad dann nochmal mit KAV gegengetestet hat, berichtet er bestimmt, gell

[Aasblume]

Wenn man aber eine verdächtige Datei zu Avira oder KAV-Labor schickt und der Verdacht sich bestätigt, ist die aktualisierte Signatur innerhalb kürzester Zeit veröffentlicht.

Dann scheinen aber nicht so viele da was hin zu schicken; die Erkennungsrate/Signaturen war ja mal besser, oder?

[Rene-gad]

Denn Tausch verstehen bestimmt viele nicht

Welchen meinst Du: KAV -> NAV oder umgekehrt?

Aber wenn Rene-gad dann nochmal mit KAV gegengetestet hat, berichtet er bestimmt, gell

KAV hat 5 von 6 gebliebenen Samples sofort erkannt und entfernt, eine Datei habe ich nachträglich hoch geschickt, die Antwort: Datei sei beschädigt.

Dann scheinen aber nicht so viele da was hin zu schicken; die Erkennungsrate/Signaturen war ja mal besser, oder?

Das hat mich eben auch gewundert: allen Tests nach hat Norton viel bessere Erkennungsrate... k.A. Fakt ist hier : http://www.rokop-security.de/index.php?sho...st&p=292055

Der Beitrag wurde von Rene-gad bearbeitet: 14.11.2009, 14:30

[Anar]

Wenn man aber eine verdächtige Datei zu Avira oder KAV-Labor schickt und der Verdacht sich bestätigt, ist die aktualisierte Signatur innerhalb kürzester Zeit veröffentlicht.
Über Symantec kann man das nicht sagen, leider.

Mal so ne Frage ... wieso sollte man als AV Labor Malware zeitnah hinzufügen, die ohnehin schon erkannt wird? Schick Avira z.B. mal ein Sample, daß "nur" von der Heuristik erkannt wird. Das dauert dann auch einige Zeit bis es dann vielleicht ne Signatur gibt - wenn überhaupt.

Wenn ich als AV Labor 2 Haufen Malware habe: Haufen A, mit Malware die von meinem Produkt erkannt, aber nicht bei Namen genannt werden kann (Heuristiken, Behavior Blocking etc.) und Haufen B, der aus Malware besteht, die gar nicht erkannt wird. Dann wird zuerst immer Haufen B abgearbeitet. Dir als Kunde sollte sogar daran gelegen sein, daß Dein Hersteller zuerst Haufen B abarbeitet. Wenn nicht läuft da was mit der Prioritätensetzung falsch.

[Rene-gad]

Schick Avira z.B. mal ein Sample, daß "nur" von der Heuristik erkannt wird.

Ein Missverständnis: ich schicke nur die verdächtigen Dateien, egal ob die über Heuristik oder gar nicht erkannt worden sind. Die bereits detektierten Schädlinge lade ich nicht hoch - es ergibt wirklich keinen Sinn.

Das dauert dann auch einige Zeit bis es dann vielleicht ne Signatur gibt - wenn überhaupt.

Vielleicht. Ich rede um die normalen/durchschnittlichen Reaktionszeiten. Für manche Samples haben die Virenlabors von Avira und KAV ein paar Tage gebraucht. Die Ergebnisse fielen aber meist negativ aus.

Der Beitrag wurde von Rene-gad bearbeitet: 14.11.2009, 15:19

[Anar]

Drei der sieben von Dir genannten Beispiele Rene-gad hab ich im Netz finden können. Dabei ist eine Datei ein Rootkit Treiber, die ohne den Dropper harmlos ist. Die anderen beiden Dateien blockt Sonar. Übrigens ohne das sie überhaupt ausgeführt worden wären. Der Cloud Lookup genügt bereits damit Sonar die Datei als böse ansieht. Was für mich die Frage aufwirft, in wiefern man Sonar wirklich als Behavior Blocker bezeichnen sollte. Hast Du da mal nähere Tests durchgeführt Voyager? Wie sich Sonar z.B. bei deaktivierter Internetverbindung verhält?

[Voyager]

Wie sich Sonar z.B. bei deaktivierter Internetverbindung verhält?

Gute Frage , ich hatte schon Objekte die von Sonar erst nicht beachtet wurden und einen halben Tag später beim zweiten Test von Sonar dann doch erkannt und entfernt wurden.
Bekannt ist jedoch das Sonar mit Insight verknüpft ist wie das hier in den Blogs zur Technik schon beschrieben wurde http://community.norton.com/t5/Norton-Prot...-Blog/bg-p/npb1 .
Sonar2 http://community.norton.com/t5/Norton-Prot...a-p/117130#A335 - Nach Quorum auf der Webseite suchen.
Ich kann jetzt aber nicht sagen wieviel das bei einer Erkennung ausmacht. Natürlich wird eine Verhaltenserkennung hier viel effizienter wenn diese aus einer Datenbank lesen kann was Gut und was Böse ist.

Der Beitrag wurde von Voyager bearbeitet: 14.11.2009, 15:37

[Rene-gad]

in wiefern man Sonar wirklich als Behavior Blocker bezeichnen sollte.

Der scheint eben dafür geschaffen worden zu sein: http://en.wikipedia.org/wiki/SONAR_(Symantec)
Andere Frage für mich: ist Sonar wirklich imstande, eine schädliche Bibliothek oder einen gleichartigen Treiber, die/der sich mit einem gutartigen EXE zusammen ausführen ließen, zu erkennen und zu killen?

[Voyager]

Andere Frage für mich: ist Sonar wirklich imstande, eine schädliche Bibliothek oder einen gleichartigen Treiber, die/der sich mit einem gutartigen EXE zusammen ausführen ließen, zu erkennen und zu killen?

Definitiv Ja.

Ich hab dazu extra ein Thema im Norton Forum eröffnet das Insight False Positives behandelt , in dem Falle fälschlicherweise als "Gut" deklarierte (Viren)Downloads die vom Sonar hinterher doch in der Regel alle erkannt wurden.

http://community.norton.com/norton/board/m...thread.id=73098 ab Posting Nr. 5

Der Beitrag wurde von Voyager bearbeitet: 14.11.2009, 16:14