Norton Antivirus 2010, Ich bin enttäuscht Einstellungen

[Rene-gad]

Ich hab dazu extra ein Thema im Norton Forum eröffnet

Ich habe nicht das gemeint.
Z.B.

QUELLTEXT

Der Browser Opera wird per Starten der Opera.exe angelassen. Für die Arbeit des Browsers  wird jede Menge DLL und DRV-Dateien benötigt. Die Datei Opera.exe ist [b]clean[/b] . Die Datei %windir%\system32\rasadhlp.dll ist durch einen Schädling ersetzt bzw. von einem manipuliert . Kann Sonar in dem Fall was dagegen setzen?

Sorry, ich habe in verlinkten Screens keinen Bezug auf DLL, DRV oder SYS Dateien gefunden.

[Voyager]

Die Datei rasadhlp.dll muss ja erstmal in das System32 kommen und da muss man testen ob die verhaltensbasierte Erkennung greift.

[Rene-gad]

Die Datei rasadhlp.dll muss ja erstmal in das System32 kommen

Das ist das allerkleinste Problem.

muss man testen ob die verhaltensbasierte Erkennung greift.

Eben das ist die Frage: Kann dann der Sonar - zumindest erst theoretisch gesehen - sie als Schädling erkennen und blockieren/entfernen?

Der Beitrag wurde von Rene-gad bearbeitet: 14.11.2009, 16:52

[Voyager]

wenn du erklärst wie man einen nichtalltäglichen Fall testen und nachvollziehen soll ? Kommen die Malware Dateien neuerdings per Zauberei auf die Platte

[Rene-gad]

Kommen die Malware Dateien neuerdings per Zauberei auf die Platte

Es gibt keine Zauberei, dafür gibt es jede Menge ungepatchter Systeme und unvorsichtiger User.
Wir haben: Eine Datei mit einem schnuckeligen Namen inqk.hgo (der Name ist Originalname, nicht umbenannt, nicht angepasst) , wird im Ordner %windir%\system32 abgelegt (kein Hokus-Pokus-Wunder, die Realität pur, vllt. durch einen Dropper oder weiß der Herr auf die Platte gekommen). Symantec-Signaturen wollen davon nichts wissen: http://www.virustotal.com/de/analisis/5647...1823-1258223094 . Die Datei ist funktionsfähig und nicht beschädigt. Wie hoch stehen die Chancen, dass NAV/NIS diesen Backdoor blockieren kann? Wenn du die Chancen als gut einschätzen kannst - sag bitte auch: wodurch, wenn die Signaturen nicht bekannt sind und die Datei selbst nicht ausgeführt werden kann, um von Sonar abgefangen zu werden? Vllt. kann Sonar den Dropper abfangen, vllt. aber auch nicht.

Der Beitrag wurde von Rene-gad bearbeitet: 14.11.2009, 19:41

[xri12]

Kann die Datei Schaden anrichten wenn sie nicht ausgeführt werden kann?
Und könnte nicht der Dropper von Norton/Sonar erkannt und geblockt werden?

Der Beitrag wurde von xri12 bearbeitet: 14.11.2009, 19:47

[Voyager]

Und könnte nicht der Dropper von Norton/Sonar erkannt und geblockt werden?

Vermutlich ja .

[Rene-gad]

Kann die Datei Schaden anrichten wenn sie nicht ausgeführt werden kann?

Wenn es sich um keine ausführbare Datei handelt, heißt es noch nicht, dass wir alles im Griff haben . Wenn sie schon als Backdoor definiert wurde, kann sie mit einer legalen internetfähigen Anwendung zusammen starten. Und hier hat Sonar nichts zu sagen, denn die Anwendung selbst legal ist.

Und könnte nicht der Dropper von Norton/Sonar erkannt und geblockt werden?

Vermutlich ja .

Darauf wollen wir hoffen.

Der Beitrag wurde von Rene-gad bearbeitet: 14.11.2009, 20:04

[Solution-Design]

Wenn es sich um keine ausführbare Datei handelt, heißt es noch nicht, dass wir alles im Griff haben . Wenn sie schon als Backdoor definiert wurde, kann sie mit einer legalen internetfähigen Anwendung zusammen starten. Und hier hat Sonar nichts zu sagen, denn die Anwendung selbst legal ist.

Hier wird aber langsam alles an den Haaren herbeigezogen. Fühle mich ja wie bei Alice im Wunderland.

[Voyager]

Ich sag schon garnichts mehr an welch realitätsfernen Fall er das Sonar bewerten will... die 90% Erkennungen tagtäglichen Malware Rotzes von den Webseiten (das Einfallstor schlechthin) zählen wahrscheinlich garnichts.

[winchester]

Es ist doch ganz einfach,er fühlt sich bei Norton nicht sicher und bei Kaspersky gut aufgehoben.Er wird daher immer ein Haar in der Suppe bei Norton finden egal welche Argumente kommen.Jeder hat seine Vorlieben bzw. fühlt sich bei dem einen oder anderen System besser aufgehoben.Diese Diskussion kann daher wohl endlos geführt werden und führt zu keinem Ergebniss.

[Rene-gad]

Es ist doch ganz einfach,er fühlt sich bei Norton nicht sicher und bei Kaspersky gut aufgehoben.

Wenn ich mit KAV absolut zufrieden gewesen wäre, hätte ich keine Tests mit Norton oder einem anderen AV unternommen, ich bin kein Tester - weder von Hobby noch von Beruf. Ich möchte nur, bei einem kommerziellen AV sich einigermaßen geschützt fühlen (bin ich bei keinem der Konsorten).

Diese Diskussion kann daher wohl endlos geführt werden und führt zu keinem Ergebniss.

Ein Ergebnis für mich gibt es bereits: NAV bei Weitem ist nicht so perfekt, wie ich gedacht habe.

Fühle mich ja wie bei Alice im Wunderland.

Ach was? Guck mal hier : http://www.rokop-security.de/index.php?sho...st&p=292150 : 5-10 Sek bei einem schnellen PC reicht 10 mal dafür aus, dass eine laufzeitkomprimierte Setup-Datei das Rootkit installiert und sich in der Luft auflöst oder sich dem Sonar opfert.
So was Ähnliches gibt es wirklich:

QUELLTEXT

C:\WINDOWS\system32\drivers\acpi32.sys
C:\WINDOWS\system32\drivers\amd64si.sys
C:\DOCUME~1\9335~1\LOCALS~1\Temp\aswArKrn.sys
C:\WINDOWS\system32\drivers\i386si.sys
C:\WINDOWS\system32\drivers\netsik.sys
C:\WINDOWS\system32\drivers\ws2_32sik.sys
C:\WINDOWS\system32\drivers\securentm.sys

Dabei gibt es kein exe zu beanstanden.

Der Beitrag wurde von Rene-gad bearbeitet: 15.11.2009, 10:03

[aido]

Um eine deiner Dateien herauszunehmen: http://www.threatexpert.com/files/netsik.sys.html

Es muss nicht immer .exe sein damit diese erkannt wird

[xri12]

Ach was? Guck mal hier : http://www.rokop-security.de/index.php?sho...st&p=292150 : 5-10 Sek bei einem schnellen PC reicht 10 mal dafür aus, dass eine laufzeitkomprimierte Setup-Datei das Rootkit installiert und sich in der Luft auflöst oder sich dem Sonar opfert.

Also ich habs jetzt nochmal ausprobiert, es dauert 3 Sekunden bis Sonar meckert und in der Zeit wird das Programm doch auch nicht ausgeführt also kann auch nichts passieren.
Noch dazu passiert das ganze in einer VM, also könnte es gut sein dass auf einem normalen System Sonar gleich ausschlägt.

Ohne dich angreifen zu wollen, ich finde die Diskussion irgendwie lächerlich. Warum suchen wir nicht ein paar Dateien die KAV nicht erkennt und führen die dann aus? Ich bin mir sicher dass Kaspersky auch keine 100% erreicht.

[Thomas]

Ich denke auch, dass diese Diskussion keinen wirklichen Nutzen mehr bringen wird. Jede AntiVirus Software hat ihre Schwächen und kann ausgehebelt werden, im Labor. In der Realität ist man mit den momentan auf dem Markt verfügbaren Lösungen gut bedient und gerade Norton hat, meiner Meinung nach, mit Sonar 2 wieder eine riesen Sprung nach vorne gemacht.

Tja, manche Männer bemühen sich lebenslang, das Wesen einer Frau oder die Wirkungsweise eines AntiViren Programmes zu verstehen. Andere befassen sich mit weniger schwierigen Dingen z.B. der Relativitätstheorie.

Gruß
Thomas

[Rene-gad]

Warum suchen wir nicht ein paar Dateien die KAV nicht erkennt und führen die dann aus?

Meist der Samples, die ich hier erwähnt habe, kommen von den Systemen, wo KAV/KIS installiert wurde.
Sowohl KAV als auch andere AVs können nicht alle Schädlinge erkennen - das ist kein Geheimnis, das habe ich in diesem und in den anderen Threads mehrmals unterstrichen und das ist nicht der Grund, wieso ich diesen Thread eröffnet habe.

Grund ist: soweit ich verstanden habe, setzt Symantec heutzutage alles auf die Sonar-Technologie, dabei wird die Erkennung durch Signaturendetekt vernachlässigt, die neuen Schädlinge werden mit einer Verspätung von mehr als 24 h in die Signaturen aufgenommen.

Das finde ich falsch.



OT:

hat...wieder eine riesen Sprung nach vorne gemacht.

Im letzten Quartal stand die Firma am Abgrund, in diesem hat sie einen Sprung nach Vorne gemacht ©
scnr


Der Beitrag wurde von Rene-gad bearbeitet: 15.11.2009, 12:38

[aido]

Ich glaube du hast die Funktion der Sonar-Technik nicht richtig verstanden. Diese Technologie bildet quasi die Schnittstellt zu allen anderen Komponenten des Norton Systems. Den nachfolgenden Text habe ich ausgewählt, weil es am Sinnvollsten erklärt was diese Technologie bewirkt.

SONAR 2 ist in der Lage, sämtliche anderen Norton-Funktionen einzusetzen, um zu beurteilen, ob es sich um eine normale Datei/ein normales Programm oder um einen Schadcode handelt. Die zweite Generation dieser verhaltensbasierten Technologie nutzt dazu Reputations-Informationen aus dem Norton Insight Network, der Firewall, der Netzwerk-Kommunikation (Intrusion Prevention System), Datei-Merkmalen und vielen weiteren Informationen. So können noch besser bislang unbekannte Gefahren entdeckt werden. SONAR 2 kann selbsttätig darüber entscheiden, welche Schutzmechanismen in jedem einzelnen Fall eingesetzt werden müssen. Quelle

Der Beitrag wurde von aido bearbeitet: 15.11.2009, 13:23

[Gast_Aymibien_*]

ist das sonar aus den 2009 er produkten eigentlich das gleiche wie aus NIS 2008/ N360 2 ? das jetzige in n360 v4 und nis 2010 heißt ja sonar 2....

[Rene-gad]

Ich glaube du hast die Funktion der Sonar-Technik nicht richtig verstanden.

Das ist durchaus denkbar und ich hoffe, dass jemand mir das aufklären kann:

SONAR 2 ist in der Lage, sämtliche anderen Norton-Funktionen einzusetzen....SONAR 2 kann selbsttätig darüber entscheiden, welche Schutzmechanismen in jedem einzelnen Fall eingesetzt werden müssen.

Das heißt für mich - bitte verbessere mich, wenn ich hier falsch liege - um zu prüfen, ob die Anwendung XYZ gut oder böse ist, muss man sie zuerst ausführen. Erst dann greift Sonar2 ein.

Der Beitrag wurde von Rene-gad bearbeitet: 15.11.2009, 13:36

[Voyager]

@Rene-gad

Grund ist: soweit ich verstanden habe, setzt Symantec heutzutage alles auf die Sonar-Technologie, dabei wird die Erkennung durch Signaturendetekt vernachlässigt, die neuen Schädlinge werden mit einer Verspätung von mehr als 24 h in die Signaturen aufgenommen.

Wie kommst du denn jetzt auf den Eimer ? Ich hatte kürzlich noch gesagt das die Virenerkennung mit Norton2010 und der Insightkommunikation (zb. der Rückmeldung aller unbewerteten Download URLs) eher zunimmt im Gegensatz zu vorher . Das ist zwar alles noch nicht so wie´s sein sollte aber ich erkenne seit Monaten den Trend.

Du behauptest nurnoch irgendwas weil dir die Argumente ausgehen.