Norton 2010 Public BETA - Страница 6 - Вопросы по персональным продуктам Norton - Форумы Anti-Malware.ru Перейти к содержанию
Vadim Fedorov

Norton 2010 Public BETA

Recommended Posts

Vadim Fedorov
Извините, друзья, заработался. Подскажите, вышло уже что-то под 7-ку или нет еще? :) А то ноутбук друга заждался уже :)

TANUKI, в Norton 2010 BETA изначально предусмотрена поддержка Windows 7.

Ссылки для загрузки находятся в первом сообщении данной темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
TANUKI, в Norton 2010 BETA, изначально предусмотрена поддержка Windows 7.

Ссылки для загрузки находятся в первом сообщении данной темы.

Да, пардон, уже сам заглянул а сайт симантека и увидел :) Ждем 360 с поддержкой 7-ки :wub:

P.S. C первой страницы не смотрел, т.к. было много флуда :) думал, что он продолжается, а тему, оказывается почистили. Отлично!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Ждем 360 с поддержкой 7-ки :wub:

Выпуск финальных версий Norton Internet Security/Norton AntiVirus 16.7 и Norton 360 v3.5,

обеспечивающих совместимость с Windows 7 намечен на август.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov

В Norton Protection Blog размещена статья, посвященная технологии SONAR 2 -

http://community.norton.com/t5/Norton-Prot...96C02C6324#A335

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
обеспечивающих совместимость с Windows 7 намечен на август.

А выход 2010-ой линейки на какие числа примерно запланирован?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
размещена статья, посвященная технологии SONAR 2

а можно пару конкретных примеров зловредных действий? :)

(описать действия, например, - инжект через CreateRemoteThread).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
А выход 2010-ой линейки на какие числа примерно запланирован?

Информация о планах заранее не сообщается.

Предположительно - осенью.

а можно пару конкретных примеров зловредных действий? smile.gif

(описать действия, например, - инжект через CreateRemoteThread).

priv8v, нет смысла заранее задаваться подобными вопросами, так как -

Please also have in mind that we are still tuning the detection technologies. SONAR was just finished a week before the beta came out.

Both, the Quorum scoring system and the SONAR decision engine will change a lot during the beta.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Но предположительно - осенью.

Ого...помнится 2009-ая линейка,"зарелизилась" ещё в августе,если мне не изменяет память.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Ого...помнится 2009-ая линейка,"зарелизилась" ещё в августе,если мне не изменяет память.

Память Вам изменяет - продукты Norton 2009 были выпущены в сентябре 2008 -

http://www.symantec.com/about/news/release...rid=20080909_01

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
нет смысла заранее задаваться подобными вопросами, так как

А на сегодняшний день на что сонар в продуктах NIS, N360 обращает внимание?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
А на сегодняшний день на что сонар в продуктах NIS, N360 обращает внимание?..

------>

SONAR uses an algorithm to evaluate hundreds of attributes relating to software that is running on the computer, so it can spot malicious software,

whether it's already been identified by Symantec researchers or not.

Behavioral Detection engines monitor all applications running on the machine for suspicious behaviors.

Some examples of suspicious behaviors are "Writing to the run key", "Registering a BHO", "Modifying the etc/hosts files" etc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Можете показать скриншот его сообщения?.. (если не затруднит).

Вот, например, на этот файл (любой из архива):

http://dump.ru/file/2897743 (там модификатор файла хостс).

пароль на архив: 123

К сожалению ничего под рукой на данный момент другого нет. Я вообще не со своего компа - тут у меня ничего нет (просто нашел на другом форуме эту ссылку) :(

PS: проверил сейчас эти два файла на КИС 8.0.0.506 с дефолтными настройками - на файл на СИ заругался при запуске, а файлу на асме дал нормально отработать и не пикнул даже. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Можете показать скриншот его сообщения?.. (если не затруднит).

Вот, например, на этот файл (любой из архива):

http://dump.ru/file/2897743 (там модификатор файла хостс).

пароль на архив: 123

К сожалению ничего под рукой на данный момент другого нет. Я вообще не со своего компа - тут у меня ничего нет (просто нашел на другом форуме эту ссылку) :(

Результаты проверки на Norton Internet Security 2010 BETA -

1. Попытка запуска "Trojan_Hosts_75_c":

a2d56c2a8c18.png51884e7176c5.png63cf99776e3a.png

2. Попытка запуска "Trojan_Hosts_75_asm":

fed7d291c530.png3544e8fe90b6.png77c6cd1995ba.png

Модуль поведенческого анализа SONAR 2, работающий в продуктах Norton полностью в автоматическом режиме, успешно сработал в обоих случаях.

PS: проверил сейчас эти два файла на КИС 8.0.0.506 с дефолтными настройками - на файл на СИ заругался при запуске, а файлу на асме дал нормально отработать и не пикнул даже. :)

Так как Вы упомянули о Kaspersky 8.0.0.506, сделаю дополнение -

Kaspersky Internet Security 2010 v9.0.0.459 реагирует также как и Kaspersky 2009 v8.0.0.506:

работая в автоматическом режиме, при попытке запустить "Trojan_Hosts_75_c" задает пользователю вопрос доверяет ли он программе,

т.к. она не содержит цифровой подписи.

работая в автоматическом режиме, при попытке запустить "Trojan_Hosts_75_asm" Kaspersky Internet Security 2010 v9.0.0.459 никак не реагирует,

позволяя модификацию файла Hosts.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Хочется и отметить "небольшой" минус SONAR 2 - частенько он удаляет нужные проги-которые ему не понравились. Жаль,что нет запроса действия...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Vadim Fedorov, спасибо за полезную информацию. Не ожидал получить ее в таком количестве и в таком качестве. Спасибо :)

Но, пользуясь случаем, задам Вам еще два вопроса:

1). Как отреагируют на эти два файла сегодняшние релизные версии Нортона (NIS или N360)?

2). Что думаете по поводу того, что КИС обоих версий пропустил модификатор, написанный на асме? (общие мысли и вообще почему так вышло). Ведь файл не криптован, на уровне кода обфускации нет как и на других уровнях и он полностью идентичен по действиям файлу на С.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Офф-топ:

@ priv8v:

Разрешите небольшой офф-топ: батник ваш не только хочет модифицировать файл Hosts, а пытается ещё и создать его если он отсутствует, так? Я мой переименовал в XHosts, поэтому можно считать, что этого файла у меня нет. Вашему трояну (в лице cmd.exe) однако не удалось создать новый файл Hosts, даже в режиме Админа: К папке etc у меня задан для всех (даже SYSTEM) запрет на запись через пользовательские разрешения Windows.

1    17:31:42     cmd.exe    1536    CreateFile    C:\WINDOWS\system32\drivers\etc\hosts    NAME NOT FOUND    Desired Access: Generic Read/Write, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: Read, AllocationSize: n/a2    17:31:42     cmd.exe    1536    CreateFile    C:\WINDOWS\system32\drivers\etc\hosts    NAME NOT FOUND    Desired Access: Read Attributes, Disposition: Open, Options: , Attributes: n/a, ShareMode: , AllocationSize: n/a3    17:31:42     cmd.exe    1536    CreateFile    C:\WINDOWS\system32\drivers\etc\hosts    ACCESS DENIED    Desired Access: Generic Write, Read Attributes, Disposition: OpenIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: Read, AllocationSize: 04    17:31:42     cmd.exe    1536    CreateFile    C:\WINDOWS\system32\drivers\etc\hosts    NAME NOT FOUND    Desired Access: Read Attributes, Disposition: Open, Options: , Attributes: n/a, ShareMode: , AllocationSize: n/a

Сообщений об ошибках нет нигде.

Конец Офф-топа

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
http://dump.ru/file/2897743 (там модификатор файла хостс).
0040103E  |.  E8 37020000   CALL <JMP.&kernel32.CreateFileA>        ; \CreateFileA00401043  |.  A3 00304000   MOV DWORD PTR DS:[403000],EAX00401048  |.  833D 00304000>CMP DWORD PTR DS:[403000],00040104F  |.  0F84 18020000 JE Trojan_H.0040126D

;)

SONAR 2, работающий в продуктах Norton полностью в автоматическом режиме, успешно сработал в обоих случаях.

Это кстати здорово, что стараетесь не задавать лишних вопросов пользователю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Хочется и отметить "небольшой" минус SONAR 2 - частенько он удаляет нужные проги-которые ему не понравились. Жаль,что нет запроса действия...

Во-первых, настройки по-умолчанию, если не ошибаюсь, запрещают удаление файлов, обнаруженных SONAR, он лишь терминирует эти процессы, если что Вадим меня поправит. Во-вторых, понятие "частенько" здесь неуместно, за год использования NIS 2009 не столкнулся с этим ни разу, не забываем что в релизном продукте База Белых списков (то на что SONAR не должен реагировать) обновляется не реже одного раза в день

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Сообщений об ошибках нет нигде.

Посмотрите на мини-листинг от Василия - это ответ ;)

Два этих файла были написаны мной на коленке минут за 15, поэтому ни о каких проверках, мессаджах, исключениях и т.д - и речи идти не может - написаны они были для проверки эвристики на файлы с такой деятельностью. Поэтому придираться к их технической реализации не нужно :)

Свое дело в обычных условиях они делают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ priv8v

Я просто к тому, что на некоторых ресурсах рекомендуется либо переименовать этот файл либо поставить атрибут 'Только Чтение', что в данном случае, не поможет. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Посмотрите на мини-листинг от Василия - это ответ wink.gif

Я вообще-то о другом - в коде ошибка. Ф-ция CreateFile в случае ошибки возвращает INVALID_HANDLE_VALUE, то бишь 0xffffffffh. а у тебя идет проверка EAX на нуль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
поставить атрибут 'Только Чтение'

Хы))

Засунул сейчас файлы по очереди в отладчик и увидел, что в файле на СИ есть установка файлу хостс атрибута normal, а в файле на асме - нет :)

Но это не важно. Просто смешно, что в асм-коде я забыл тогда написать эту строчку))

Я вообще-то о другом

;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Но, пользуясь случаем, задам Вам еще два вопроса:

1). Как отреагируют на эти два файла сегодняшние релизные версии Нортона (NIS или N360)?

Вообще-то обсуждение NIS 2009 и Norton 360 v3.0 не будет соответствовать тематике данной темы,

но для логического завершения раскроем и этот вопрос :) -

В автоматическом режиме "по-умолчанию" продукты NIS 2009 и Norton 360 v3.0 не реагируют на запуск данных файлов.

(подчеркну, что речь идет о режиме offline, без доступа к Internet. В режиме online не проверял.)

С измененными настройками:

fb8b1892a60ct.jpg

отображается уведомление, что позволяет предотвратить изменение Hosts:

86d33b5d5432.png4491de9e0110.png

2). Что думаете по поводу того, что КИС обоих версий пропустил модификатор, написанный на асме? (общие мысли и вообще почему так вышло). Ведь файл не криптован, на уровне кода обфускации нет как и на других уровнях и он полностью идентичен по действиям файлу на С.

priv8v, ну это ведь (обсуждение Kaspersky) уже совсем не будет соответствовать данной теме :)

Мне кажется, что подобные вопросы все-таки более корректно задавать в разделе Kaspersky.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
В автоматическом режиме "по-умолчанию" продукты NIS 2009 и Norton 360 v3.0 не реагируют на запуск данных файлов.

Удивлен, что Вы это сказали. Ранее такое на этом форуме не говорили никто :)

Я искренне рад, что в 2010 версии нортон на дефолтных настройках справляется с такими зловредами. Прогресс налицо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • demkd
      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×