Norton 21.0 Beta Einstellungen

[citro]

Die Youtube-Tests sind ja immer nicht so aussagekräftig aber hier scheitert Norton an einer Ransomware - ziemlich am ende des Videos

http://www.youtube.com/watch?v=oxljEx8JSXk

[Enthusiast]

http://de.community.norton.com/t5/Norton-I...load/td-p/80874

Einfach herrlich diese Reputations*** . NIS ist eigentlich selber "Crimeware".

[Tiranon]

http://de.community.norton.com/t5/Norton-I...load/td-p/80874

Einfach herrlich diese Reputations*** . NIS ist eigentlich selber "Crimeware".

Das Thema ist doch schon alt, mittlerweile kann man WinRar ohne Probleme laden....

[Enthusiast]

Das Thema ist doch schon alt, mittlerweile kann man WinRar ohne Probleme laden....

Das Thema ist von gestern ! Alt ist was anderes.

Es geht aber nicht darum, sondern das man eine Datei nach deren "Häufigkeit" beurteilt. So was dämliches auch.

[Rios]

Die Youtube-Tests sind ja immer nicht so aussagekräftig aber hier scheitert Norton an einer Ransomware - ziemlich am ende des Videos

http://www.youtube.com/watch?v=oxljEx8JSXk

Guten Morgen,
Das mit der Ransomware ist so eine Sache. Hatte hier welche die nahezu fast gar nicht, oder sehr schwach erkannt wurden. Ist das Teil frisch und kreativ fabriziert, geht er durch, egal welche Security. Die mit ansonsten guten bis sehr guten Erkennungsraten, sahen zum Teil alt aus. Mittlerweilen sputet sich die Security wieder einmal ( das ewige hinterherrennen) Anschluss zu finden, mit mehr oder weniger Erfolg.

[ciacomo]

Hat jemannd mal den Downloadlink zur aktuellen NIS?

Danke


VG

[Scary674]

bisschen peinlich ist die neue version ja schon. wird groß beworben, dass die auch unter windows 8.1 läuft... das neue identy safe magallerdings den neuen ie11 jedenfalls nicht. das addon deaktviert sich gleichimmer wenn ich den ie11 aufrufe...

[IBK]

hxxp://buy-download.norton.com/downloads/2014/21.0.1/NISNAV/GE/NIS-ESD-21.0.1-GE.exe

[ciacomo]

Danke

VG

[flexibel44]

bisschen peinlich ist die neue version ja schon. wird groß beworben, dass die auch unter windows 8.1 läuft... das neue identy safe magallerdings den neuen ie11 jedenfalls nicht. das addon deaktviert sich gleichimmer wenn ich den ie11 aufrufe...

Ich bin mir sicher, dass im Norton Forum stand, dass es rechtzeitig zur VÖ von Win 8.1, noch ein Update von Norton geben wird, damit die Software unter 8.1 läuft.

[ciacomo]

Das Thema ist von gestern ! Alt ist was anderes.

Es geht aber nicht darum, sondern das man eine Datei nach deren "Häufigkeit" beurteilt. So was dämliches auch.

Die "Häufigkeit" mag dazu mit einfließen.
Ausschließlich kann ich mir nicht vorstellen.
Hatte schon einige male Datein, die von der Häufigkeit bei unter 5 Benutzern war. Und trotzdem bewertete Norton die Datei als gut.

VG

[Enthusiast]

Die "Häufigkeit" mag dazu mit einfließen.
Ausschließlich kann ich mir nicht vorstellen.
Hatte schon einige male Datein, die von der Häufigkeit bei unter 5 Benutzern war. Und trotzdem bewertete Norton die Datei als gut.

VG

Sicher nicht NUR die Häufigkeit, aber wenn das gleiche Progi in der 32 bit Version OK ist und in der 64 bit nicht...Sorry, aber das geht gar nicht.

Eigentlich sollte ein Security-Programm prüfen, ob die Datei Malware ist oder nicht und nicht wiviele "User" diese heruntergeladen haben .

Der Beitrag wurde von Enthusiast bearbeitet: 06.09.2013, 23:21

[Rios]

Guten Morgen,
mittlerweilen ist Norton natürlich nicht die einzige Security, die diese Methode unter anderem verwendet.

[Alister]

Weil's gerade aktuell ist (bin auf ein paar Symantec offenbar unbekannte Malware-Samples gestoßen), und wollte die einsenden - über die Norton-Verlauffunktion, habe allerdings auch das gleiche Problem, wie Tiranon hier:

Eine Frage habe ich noch:

Unter "Sicherheitsverlauf > Norton Community Watch" stehen bei mir einige "Norton Community Watch-Feedback" noch auf "Ausstehend" obwohl ich im Norton-Planer das senden von Norton Community Watch schon mehrmals manuell gestartet habe. Wie bzw. wann werden die Berichte gesendet?

Ehrlich gesagt, finde ich es schon schwach, dass es hier so Probleme gibt - dabei bräuchte Symantec doch dringend ein bisschen "boost" bei der Erkennungsrate.

Edit: So, nachdem ich heute und gestern bestimmt 10mal über die Norton-Planer-GUI das Community Watch ausgeführt habe, wurden die Samples endlich eingesendet... also in circa 8h könnten Norton-Nutzer dagegen gesichert sein :P

Der Beitrag wurde von Alister bearbeitet: 08.09.2013, 10:27

[Enthusiast]

Guten Morgen,
mittlerweilen ist Norton natürlich nicht die einzige Security, die diese Methode unter anderem verwendet.

Entweder ist mir das bei den von mir verwendeten Suites nicht aufgefallen oder du verwendest einfach die falschen Suites .

[Schattenfang]

[...]dabei bräuchte Symantec doch dringend ein bisschen "boost" bei der Erkennungsrate.

Hattest Du die Samples mal ausgeführt? Die Erkennungsrate von Norton ist alles andere als schlecht - sie arbeitet nur mit anderen Technologien. Die Signaturen sind ziemlich fokussiert auf neue Samples und im Vergleich zu anderen Lösungen extrem abgespeckt.
Ich finde viele Technologien auch nicht gerade super - insbesondere dieses blödsinnige Reputations-Gedöns.

Aber eine schlechte Erkennungsrate...da wäre ich vorsichtig.

[Alister]

Hattest Du die Samples mal ausgeführt? Die Erkennungsrate von Norton ist alles andere als schlecht - sie arbeitet nur mit anderen Technologien. Die Signaturen sind ziemlich fokussiert auf neue Samples und im Vergleich zu anderen Lösungen extrem abgespeckt. [...]

Das werde ich heute noch machen, bloß zuvor mache ich erstmal ein Systembackup, ist nämlich eine Variante des Zeroaccess-Rootkits - das werde ich sonst nämlich nicht mehr los.
Neu ist die Variante allerdings auch. Mich ärgert halt, das z.B. bei VirusTotal (aktueller Scan, alter Scan) bei Symantec lange Zeit nichts dastand und inzwischen "nur" WS.Reputation.1 - wäre halt schön, wenn's auch beim Drüberscannen erkannt wird.

Aber danke für den Tipp!

[Enthusiast]

@ Alister

Könnte ja sein, dass auch ein blinder Affe eine Banane findet .

[Alister]

@ Alister

Könnte ja sein, dass auch ein blinder Affe eine Banane findet .

Den Spruch kannte ich sonst nur mit der blinden Henne und dem Korn^^

Also ich habe zuerst ein vollständiges BackUp gemacht, das gerade zurückgespielt wird... ehrlich gesagt, ist das wirklich ein mittelmäßiges Desaster für Symantec:

1. Malware konnte ausgeführt werden, Internetzugriff dieser wird allerdings blockiert (mit Desktopmeldung von Norton; unklar (steht nichts im Verlauf), ob dies die Firewall von NIS macht - ich nehme aber an, ja)

2. Trotz blockierten Internetzugang wird ein "googleupdate.exe"-Dienst im Hintergrund installiert, der diverse weitere Trojaner nachlädt (siehe Anhang norton1.png). Ob da Norton alles blockiert?
--> Enttäuscht von SONAR, das den Downloader der Malware nicht identifiziert, sondern AutoProtect nur die Downloads blockieren lässt.

3. QuickScan findet allerdings nichts aktives - ganz im Gegensatz zum Bitdefender Online-Scan.

4. Mit dem Norton Power Eraser kann nun eindeutig (neben dem FP den Virustotal-Kontextmenü-Uploader betreffend) zwei bösartige Veränderungen, darunter den "googleupdater.exe" entfernen. --> Neustart.

5. Alles entfernt?!
Nach Neustart zeigt Norton Power Eraser alles als entfernt an, auch nach wiederholten Scan. Ebenso nun der Bidefender-OnlineScan. Allerdings scheint das Rootkit doch Schaden angerichtet zu haben: Das Norton-Symbol lädt sehr spät - und obwohl alle Module funktionieren, erscheint eine Problem-Meldung, die ich dem Rootkit zuschreibe (norton2.png im Anhang).

Insgesamt: Irgendwie sehr traurig, da ja das Malware-Sample sogar (nach mehrmaliger Betätigung der CommunityWatch-Funktion) eingesendet wurde (vor ca. 1,5 Tagen).

Für mich stellt sich einerseits die Frage, ob das CommunityWatch-Feedback überhaupt bearbeitet wird. Ich würde, wenn man Symantec denn etwas einsenden will, das direkt über die Funkton auf der SecurityResponse-Seite machen. An ThreatExpert (wohl so etwas wie ein Unterdienst von Symantec) braucht man auch nichts senden, da wird die Datei zwar (automatisiert) analysiert, aber das war's auch.
Andererseits überlege ich mir, ob ich überhaupt die NIS weiterverwenden werde, mein Abo läuft ja auch nur noch 30 Tage. Wenn an sich nochmals den aktuellen VT-Report (oder vor allem die alten VT-Reports, siehe oben) ansieht, dann gibt es da durchaus bessere Alternativen.

Diese WS.Reputation.1, die bei Symantec angezeigt wird, denke ich, würde nur übers Download-Insight auftauchen - was sie bei mir auch nicht tat, da die Datei ja gezippt ist; ich finde dieses Download-Insight daher ohnehin absolut furchtbar, da's bei komprimierten Dateien nicht greift - und wer lädt schon etwas anderes herunter?!

Abschließend sei noch angemerkt, dass ich vor Wochen schonmal eine andere (von Symantec noch unbekannte) Version des Zeroaccess-Rootkits einsendete (über die SecurityResponse-Seite) - die dann in die Erkennung aufgenommen wurde.

So, gute N8 & schlechte NIS

Der Beitrag wurde von Alister bearbeitet: 10.09.2013, 00:04

Angehängte Datei(en)

 norton1.PNG ( 192.54KB ) Anzahl der Downloads: 22
 norton2.PNG ( 24.3KB ) Anzahl der Downloads: 32

 

[Schattenfang]

Danke für den Test. Ich bin ja bekanntermaßen alles andere als ein Norton-Befürworter, aber dennoch können solche Samples generell bei allen Programmen durchrutschen. Norton hatte leider schon immer große Probleme bei ZeroAccess-Rootkits. Anscheinend ist das noch nicht vom Tisch.

Mich würde mal interessieren, wie die Sonar-Einstellungen waren. Hattest Du da etwas verändert oder liefen sie auf Default? Wie war das frühe Laden der Norton-Komponenten eingestellt?