NAV/NIS 2012. - Страница 11 - Вопросы по персональным продуктам Norton - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Danilka
  Rustock.C сказал:
Верно сказано.

А Вы хоть проверяли, что будет с аналогичным файлом? :) А то рассуждать может каждый...

  Dmitriy K сказал:
File name: openoffice.exe

Кстати на ВТ он детектится Symantec, а вот другая пачка подписанных этой подписью фигушки :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
  Danilka сказал:
Кстати на ВТ он детектится Symantec, а вот другая пачка подписанных этой подписью фигушки :)

Я остальные и не проверял :lol: (тушка-то меняет стартовую страницу)

И virustotal барахлит :(

  Burbulator сказал:
Файлы с хорошей цифровой подписью имхо всегда имеют хорошую репутацию (она даже не запрашивается в облаке).
  Burbulator сказал:
под хорошей ЦП я подразумевал ту, которой доверяет Симантек. Имхо у них нет доверия любой ЦП.

Некоторые ИМХИ лучше не ИМХОвать ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
  Danilka сказал:
А Вы хоть проверяли, что будет с аналогичным файлом? :) А то рассуждать может каждый...

Да, проверял. Если есть ЦП-это не значит, что файл безопасен. В связи с этим Symantec оперативно обновляет базу цифровых подписей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
  Rustock.C сказал:
Да, проверял. Если есть ЦП-это не значит, что файл безопасен. В связи с этим Symantec оперативно обновляет базу цифровых подписей.

Скриншоты в студию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
  Rustock.C сказал:

Это че за хрень?

Я просил про сабж:

Untitled.png

http://www.virustotal.com/file-scan/report...cd42-1316527300

post-5261-1316527646_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
  Rustock.C сказал:

Это подпись, скопированная у другого легального файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
  Danilka сказал:
Это че за хрень?

Я просил про сабж:

Untitled.png

http://www.virustotal.com/file-scan/report...cd42-1316527300

А что это за хрень? Архив, требующий отправить смс-ку за распаковку.

  Юрий Паршин сказал:
Это подпись, скопированная у другого легального файла.

Кем скопированная?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
  Rustock.C сказал:
Кем скопированная?

Тем, кто данный файл сделал, очевидно :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
  Юрий Паршин сказал:
Тем, кто данный файл сделал, очевидно :rolleyes:

Это уже к вирмейкерам ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
  Rustock.C сказал:
А что это за хрень? Архив, требующий отправить смс-ку за распаковку.

1) Symantec детектит не все файлы, подписанные этой ЦП, но имеющие одинаковый функционал требования денег.

2) Отсюда вопрос - как поведет себя NIS 2012 при запуске того файла, который не детектится по базам? Учитывая, что файл подписан валидной ЦП.

  Rustock.C сказал:
Это уже к вирмейкерам ;)

ясен хрен, что не к Вам. Вы сами на свой вопрос и ответили:

  Цитата
Кем скопированная?
  Цитата
Это уже к вирмейкерам

:facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
  Danilka сказал:
2) Отсюда вопрос - как поведет себя NIS 2012 при запуске того файла, который не детектится по базам? Учитывая, что файл подписан валидной ЦП.

Здесь надо учитывать с какого источника этот файл будет получен.

а)Если мы его скачиваем- блокировка.

б)Если он к нам попал другим путём- произойдёт запуск файла. Тут должен сработать SONAR.

  Danilka сказал:
ясен хрен, что не к Вам. Вы сами на свой вопрос и ответили:

Мало ли, а то обвинят ещё. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

По-умолчанию стоит

  Цитата

Standart Trust.

А вот уже уровень повыше, исключает из проверки файлы подписанные доверенными(по мнению Симантека) ЦП.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
  Rustock.C сказал:
Здесь надо учитывать с какого источника этот файл будет получен.

а)Если мы его скачиваем- блокировка.

б)Если он к нам попал другим путём- произойдёт запуск файла. Тут должен сработать SONAR.

Напомню, что Вы ответили мне, что проверяли как среагирует NIS 2012 на запуск аналогичного файла (с аналогичной ЦП).

  Rustock.C сказал:
Да, проверял.

Я попросил скрины. Скринов нет. Так проверяли или нет? Или догадки?

P.S. Ставить NIS 2012 желания нет, ибо нарою очень много всего, но не охото устраивать срачь да и помогать Symantec также желания нет. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
  Danilka сказал:
Я попросил скрины. Скринов нет. Так проверяли или нет? Или догадки?

В данный момент просто нет подходящего семпла, чтобы показать это всё на деле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Rustock.C, а гугл на что? Ведь MD 5 есть в отчете на ВТ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Ещё раз показываю на пальцах.

Имеется файл с действительной ЦП. Сигнатурно он не определяется Symantec. http://www.virustotal.com/file-scan/report...67a0-1316538339

Если файл с цифровой подписью попадёт к пользователю не через Интернет и не определяется сигнатурно, то запуск ему будет разрешен.

Если этот же файл скачать с Интернет, несмотря что у него есть ЦП, то он будет заблокирован по понятным причинам.

Прилагаю скрины:

Это ЦП файла (она действительна):

2038242m.png

Вот я смог запустить зловред, потому что он не определяется сигнатурно и попал ко мне, к примеру, с флешки:

2053605.png

А вот я скачиваю тот же файл с Интернет и он блокируется облаком:

2058724m.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED
3b4f2bee75b8ae273b10194a3fff927e.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Rustock.C, так у него есть детект: Symantec 20111.2.0.82 2011.09.20 WS.Reputation.1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Danilka, Virus Total сбоит. Могу дать семпл. NIS с ним ничего не сделает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
  Цитата
Symantec 20111.2.0.82 2011.09.20 WS.Reputation.1

Вот это при скачивании его и удалит.

А так... скорее всего нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
  Z.E.A. сказал:
Вот это при скачивании его и удалит.

А так... скорее всего нет.

Да, это "облачный" детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
  Rustock.C сказал:
Danilka, Virus Total сбоит. Могу дать семпл. NIS с ним ничего не сделает.

Семпл я нашел без проблем. А то, что вероятно и детектит при скачивании написал Z.E.A. выше.

Rustock.C, проверь на файле из твоей лички.

Тьфу, вот его реппорт: http://www.virustotal.com/file-scan/report...3240-1316540673

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Danilka, проверил. Увы:

р.PNG

post-12086-1316541632_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
    • santy
      Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с  dialersvc.
    • demkd
      Небольшое исправление, следующее обновление будет чисто интерфейсным и можно будет выпускать v5.0 ---------------------------------------------------------
       4.99.14
      ---------------------------------------------------------
       o Исправлена ошибка при подключении к удаленному компьютеру с Win11:
         в удаленную систему не передавалась база известных файлов.

       o Функция защиты от внедрения потоков работала неправильно если параметр bFixedName не был указан
         в settings.ini или он был равен 0.
       
×