Norton 2012 Einstellungen

[Julian]

Julian will uns nur neugierig machen indem er sogut wie nichts über sein Fund erzählt aber meint das Sonar versagen würde ?

Da gibts nicht viel zu erzählen. ZeroAccess ist sehr aggressiv gegenüber Programmen, die ihm gefährlich werden könnten.
Ich werd gleich mal versuchen, das Sample ausfindig zu machen. Es kam auch ein Norton Netzwerkscanner-Alarm wegen einer "ZeroAccess-Attacke".
Gerade warte ich aber darauf, dass das F-Secure Update in der VM mal fertig wird...

Da wäre dann nämlich die Frage wie kann Sonar versagen wenn Norton es schon so erkannt und gelöscht hatte ? Wenn man den Autoprotect abstellt geht Sonar immer mit aus, hat das Julian übersehen ? Was macht die Datei überhaupt wenn man sie ohne Virenschutz anklickt, ein Log auf Threatexpert wäre interessant.

Na, so dusselig, dass ich den Guard nicht vorher wieder einschalte, bin ich auch nicht.
Das Sample wurde per Signatur nicht erkannt, blieb also von dem Sample-Set, dass ich gescannt hatte, übrig.
Nach dem Scan hatte ich den Guard wieder eingeschaltet und dann die On Execution-Erkennung überprüft.

Alles klar? Weitere Details folgen.

Der Beitrag wurde von Julian bearbeitet: 09.09.2011, 19:13

[Voyager]

ja machmal , fehlt nurnoch der Punkt wann es denn erkannt wurde und wann die VM infiziert wurde. Wie kann die VM infiziert worden sein wenn der Guard Eingeschaltet war ?

[Julian]

Wie kann die VM infiziert worden sein wenn der Guard Eingeschaltet war ?

Soll das ne Scherzfrage sein?
Ich geb dir mal zwei Tipps:
1. Per Signatur nicht erkannt
2. Zusätzlich von Sonar nicht erkannt.

Und nach nem Neustart lief kein Norton-Prozess mehr. Klingelts?
HitmanPro wird auch abgewürgt. ZeroAccess-Infektion halt.

Der Beitrag wurde von Julian bearbeitet: 09.09.2011, 19:22

[Voyager]

Sehr unschön sind auch eine Vielzahl von FP bei libreoffice. Autoprotect legt die ganze Suite lahm, man muss 6 Dateien wiederherstellen und ausschließen...

Welche Version ist das die du verwendest, das Libreoffice von hier http://www.libreoffice.org/download/ in der VM installiert ergibt keinen Fund , Programmordner manuell gescannt und geöffnet um den Guard die DLL Dateien einlesen lassen zu können um nach Bedarf online vergleichen zu lassen.

Edit:
Ich muss mich korrigieren , ich hatte die falsche VM verwendet mit der letzten Norton Beta , ist mir erst aufgefallen.
Mit der richtigen VM mit NIS12RTM werden genau 6 DLL´s erkannt , Norton hat dafür den Ausschlussvorgang extrem erleichtert , man muss im Fundfenster nur unten auf Optionen gehen dann Wiederherstellung und dann OK der Ausschluss erfolgt automatisch weil das passende Häckchen vorgegeben ist, dann funktioniert Libreoffice. Man muss nicht erst in der Quarantäne fummeln und die Auschluss-Settings suchen gehen und alles per Hand fummeln.

Der Beitrag wurde von Voyager bearbeitet: 09.09.2011, 20:03

[Gast_@ndreas_*]

Teste mal die LiberKey-Version
Könnte auch die PortableApps-Version gewesen sein.
Irgend eine updater exe oder so wird da rausgekloppt, meine ich mich erinnern zu können

Der Beitrag wurde von @ndreas bearbeitet: 09.09.2011, 19:44

[Tiranon]

Sehr unschön sind auch eine Vielzahl von FP bei libreoffice. Autoprotect legt die ganze Suite lahm, man muss 6 Dateien wiederherstellen und ausschließen...

Du meinst wohl dieses ....



Uploaded with ImageShack.us

Datei-Insight meinte aber auch das alles "GUT" sei...





und ja die Installationsdatei habe ich von http://www.libreoffice.org/download/

Der Beitrag wurde von Tiranon bearbeitet: 09.09.2011, 20:07

[Julian]

Der von mir beschriebene Bypass tritt offenbar nur auf, wenn ich zwei bestimmte Samples hintereinander starte.
Es sind die beiden hier:
http://www.virustotal.com/file-scan/report...37b7-1315593569
http://www.virustotal.com/file-scan/report...2d8b-1315559122

Wer es reproduzieren will -> PM.
Das sollte man allerdings auf gar keinen Fall mit einem echten Windows ausprobieren, was man dann später noch benutzen möchte.

Ich konnte es mehrmals hintereinander problemlos in VirtualBox reproduzieren. Erst verschwindet nur der GUI-Prozess, nach nem Neustart will dann auch der Dienst nicht mehr.
Norton tot, Rootkit aktiv.

[Tiranon]

Der von mir beschriebene Bypass tritt offenbar nur auf, wenn ich zwei bestimmte Samples hintereinander starte.
Es sind die beiden hier:
http://www.virustotal.com/file-scan/report...37b7-1315593569
http://www.virustotal.com/file-scan/report...2d8b-1315559122

Wer es reproduzieren will -> PM.
Das sollte man allerdings auf gar keinen Fall mit einem echten Windows ausprobieren, was man dann später noch benutzen möchte.

Ich konnte es mehrmals hintereinander problemlos in VirtualBox reproduzieren. Erst verschwindet nur der GUI-Prozess, nach nem Neustart will dann auch der Dienst nicht mehr.
Norton tot, Rootkit aktiv.

Krasse Schei.... und wir dachten NIS 2012 ist so klasse ...

Ich hoffe Du sendest die Viecher an Symantec ins Labor !

Der Beitrag wurde von Tiranon bearbeitet: 09.09.2011, 20:12

[Voyager]

wenn ich zwei bestimmte Samples hintereinander starte.

Na klasse...Ich krieg die nichtmal ausn Netz runter von hotvids 47-77 , wird immer Reputativ erkannt, hmm vll. hat der Julian auch gerade ein Sample erwischt was nicht erkannt wurde.... und jetzt isser backestolz drüber

und wir dachten NIS 2012 ist so klasse ...

Man sollte aber bedenken , die "meisten" User im Internet verwenden den regulären Weg zur Malware , also einzeln aus dem Netz geladen und dort schlägt Norton 2012 immer zu solange die Cloud verfügbar ist.

Der Beitrag wurde von Voyager bearbeitet: 09.09.2011, 20:19

[Steinlaus]

@Julian, wie sieht es aus... gerade warte ich aber darauf, dass das F-Secure Update in der VM mal fertig wird...

Würde mich mal intressieren ob das viese Teil hier auch so wütet !!!

[Tiranon]

@Julian, wie sieht es aus... gerade warte ich aber darauf, dass das F-Secure Update in der VM mal fertig wird...

Würde mich mal intressieren ob das viese Teil hier auch so wütet !!!

Ich bin auf deinen Bericht gespannt

[Julian]

Ich hoffe Du sendest die Viecher an Symantec ins Labor !

Vielleicht ne Idee, an wen ich mich dort im Forum direkt wenden könnte?
Symantec's Labor springt ja bekanntlich auf Einsendungen/Emails nicht unbedingt so an...
Ich vermute mal, dass es auch nicht unbedingt an diesen zwei Samples liegen muss, sondern dass der Echtzeitschutz einen Bug oder ne Einschränkung hat, wenn mehrere Malware-Prozesse auf einmal aktiv sind.
Hatte dies in der Vergangenheit schon mehrmals beobachtet, dachte aber, es wäre gefixt worden oder die Samples wären einfach so nicht erkannt worden.

Hab die Samples übrigens nicht einzeln direkt von der Quelle geladen, sondern die stammen von m*lwares.pl.

Bezüglich F-Secure: Ich bräuchte ein aktuelles ZeroAccess-Sample, das nicht per Signatur erkannt wird.
Edit: Das zweite Sample ist zwar auch ZeroAccess, allerdings ist es nicht so aggressiv wie das erste, zumindest killt es HitmanPro während des Scans nicht.
F-Secure blockt dieses Sample auch ohne Signatur von Bitdefender mit Deepguard, aber ich vermute, es ist keine Verhaltenserkennung, da Deepguard einen Malware-Familiennamen ausspuckt und das Sample geblockt wird, bevor es überhaupt starten kann.
Also kein wirkklicher Test des Verhaltensblockers von Deepguard, aber immerhin besser als nichts.

Der Beitrag wurde von Julian bearbeitet: 09.09.2011, 20:40

[Rios]

Guten Abend,

Julian danke für deine Ausführungen, ist imer wieder schön zu lesen. Die Argumente die Voyager mit einbringt, natürlich auch. Es gibt immer wieder einen bösen, der die Möglichkeit besitzt den AV, oder Teile davon zu killen.
Hatte so ein ähnliches Problem, mit einem anderen AV, wo ein Backdoor es geschaft hatte, den Datei-Antivirus zu beenden, aber das AV zeigte trotzdem System OK.

[Schattenfang]

Es gibt immer wieder einen bösen, der die Möglichkeit besitzt den AV, oder Teile davon zu killen.

ne, aber nicht bei norton. das habe ich von voyager hier schon gelernt. entweder es ist kaputt, oder vom mond (daher nicht lesbar), oder sowieso nicht relevant, oder wäre niemals auf den pc gekommen, weil es ja nicht vom himmel regnet usw.
wenn so ein teil die suite komplett beenden und abschießen kann würde ich doch lieber der wahrheit ins auge blicken. was ein sample mit einer bestimmten methode kann, können andere natürlich auch. dann lieber konstruktiv rangehen.

[Voyager]

Wer Norton abschiessen kann schafft das auch bei jedem anderen , man sollte auch dieser Wahrheit ins Auge blicken. Bei Norton hast du wenigstens noch die Chance das der Download vor der Ausführung abgefangen und dank schlechter Bewertung gelöscht wird.

[Schattenfang]

Wer Norton abschiessen kann schafft das auch bei jedem anderen , man sollte auch dieser Wahrheit ins Auge blicken.

ach komm
du weisst genau, dass nicht jedes selbstschutzmodul gleichgestrickt ist und die programme ganz unterschiedliche module und technologien verwenden, um malware abzufangen. auch in anderen suiten gibt´s sowas wie cloudabfragen beim download, nicht nur bei symantec

mich als möglicher norton-user interessiert das überhaupt nicht, ob auch noch ein anderes programm eventuell auch hier abgestürzt wäre. das hilft mir nicht wirklich.
schick es zu symantec und lass das abklären, aber diese laufende veräppelung von wegen nicht relevant oder nicht praxisnah oder für alle zutreffend ist doch doof und hilft keinem weiter.

Der Beitrag wurde von Schattenfang bearbeitet: 09.09.2011, 21:45

[Voyager]

Willst du das etwa noch bestreiten das das Starten der Objekte aus Malwarepacketen kaum praxisnah ist , wenn ausgerechnet diese Objekte nicht wie Manna vom Himmel regnen sondern ganz klassisch aus dem Internet über Drive-By_Downloads kommen ?
Mach dich nicht lächerlich.

[Schattenfang]

Willst du das etwa noch bestreiten das das Starten der Objekte aus Malwarepacketen kaum praxisnah ist , wenn ausgerechnet diese Objekte nicht wie Manna vom Himmel regnen sondern ganz klassisch aus dem Internet über Drive-By_Downloads kommen ?

ah ja und insight fischt natürlich alles ausnahmslos vorher weg .

es ist egal von wo ich so ein sample starte, es infiziert meinen pc und macht norton platt. ganz einfach. kann ja auch von einem usb-stick kommen oder per mail etc..
mir ist es egal ob symantec das fixt, aber aus einem fehler in der software noch einen vorteil für das produkt zu konstruieren ist natürlich clever!

Der Beitrag wurde von Schattenfang bearbeitet: 09.09.2011, 21:53

[Voyager]

aber aus einem fehler in der software noch einen vorteil für das produkt zu konstruieren ist natürlich clever!

Du konstruierst aus einem Sample nicht nur ein Nachteil für das Produkt , du streitest immernoch alles ab wenn man dir das zeigen würde wie ein Download gelöscht wird.
Glaubste du bist besser ? Geh erstmal mit guten Beispiel vorran

[Schattenfang]

das sample hat norton gelöscht. mir mir hat das gar nichts zutun. und ich sehe da keine vorteile, tut mir leid. da bringen auch deine wahrscheinlichkeitsrechnungen über infektionswege nichts, von denen es mehr gibt als immer nur über drive-by-downloads. das sind totschlagargumente, die man nie beweisen, nie nachvollziehen oder reproduzieren kann.

aber das sample, das schießt norton ab. und das kann julian auch noch 20x machen, ändert daran nix.

Der Beitrag wurde von Schattenfang bearbeitet: 09.09.2011, 22:06