Symantec вывела Norton 2012 на публичное бета-тестирование

[A. 876]

Вы бы сначала сами проверяли, а уж потом бы "рукалицо" шлепали.

Работе этого хлама нортон не препятствует. NIS 2011 текущая версия:

Вы бы хоть вдумались в суть наблюдаемого.

1. Есть безобидный файл.

2. Нортон классифицирует его как "плохой"

3. Я всегда думал, что в текущей парадигме ИБ общепринят подход классификации файлов не на "белое" и "черное", а как минимум на "белое", "черное" и "серое". Более того, я своими ушами слышал на конференциях как Симантек хвастался тем, что они используют более широкий подход и категорий у них штук 6 минимум.

4. Несмотря на пункт 2 - Нортон дает файл запустить.

Любители Нортона утверждают, что все ок и так и должно быть.

Риторический (увы) вопрос - а нахрена собственно все эти свистопляски с репутациями и категориями - если "плохой" файл все равно запускается ?

Вопрос корректности вердикта вообще оставим за рамками.

[Mr. Justice 771]

Топик зачищен он флейма.

sda и Юрий Паршин - премодерация 3 дня

[ntuser 70]

Вы бы хоть вдумались в суть наблюдаемого.

Вдумался. Увидел работу репутационных технологий.

1. Есть некий файл.

2. Монитор вредоносного кода не обнаруживает.

3. Автоматически сверяемый с сервером хэш файла в базе данных вредоносных файлов не числится. Среди известных надежных - тоже.

4. В результате автоматического анализа атрибутов файла (на сервере Symantec) с использованием _репутационных_ технологий -

_репутация_ файла помечается как "untrustworthy" - не заслуживающий доверия, ненадежный.

(возможно речь к тому же идет о патченом клоне известного легитимного файла. Не проверял. Не интересно.

Думаю не нужно объяснять что этот факт добавляет к имеющимся атрибутам.)

5. При неопределенной репутации файла (и уж тем более "untrustworthy") при попытке запустить такой файл должно появляться

предупреждение, рекомендующее воздержаться от запуска файла до прояснения его репутации.

Почему этого не произошло в данном случае - вопрос к Symantec.

6. Если же пользователь все-таки решил запустить файл несмотря на предупреждение,

то Сонар в подобном случае явно будет работать в более агрессивном режиме.

Риторический (увы) вопрос - а нахрена собственно все эти свистопляски с репутациями и категориями - если "плохой" файл все равно запускается ?

Ну как минимум:

1. Проинформировать пользователя о репутации файла, предложив воздержаться от запуска как такового. Учитывая ресурсы Symantec, уровень развития репутационных технологий, и наполнение баз данных - не вижу причин, по которым пользователям стоило бы игнорировать подобные рекомендации.

2. Обеспечить работу Сонара в более агрессивном режиме (тогда, когда это нужно), если пользователь неадекватен неудержим и во чтобы то ни стало стремится запустить файл.

[ZemucS 5]

Антивирус не плохой, но вот его шелудивость и фолсы репутационные, не куда не годятся. У меня каждый инсталятор нортон удаляет, скаченный с сайта http://portableappz.blogspot.com/ хотя другие антивирусы, в инсталяторах ничего не видят и не обнаруживают. А так просто вырубаю контроль загрузок в антивирусе, тогда все нормально становится.

[mennen 100]

4. Несмотря на пункт 2 - Нортон дает файл запустить.

Интересно, что если данный файл залить просто на файлообменник без архива и пароля и попытаться скачать, то Norton удалит его с вердиктом - WS.Reputation.1

Возможно компания рассматривает основным источником попадания вредоносов на ПК именно интернет, а тут уже скачка на компьютер не произойдет.

[A. 876]

Интересно, что если данный файл залить просто на файлообменник без архива и пароля и попытаться скачать, то Norton удалит его с вердиктом - WS.Reputation.1

Возможно компания рассматривает основным источником попадания вредоносов на ПК именно интернет, а тут уже скачка на компьютер не произойдет.

То есть, в одном случае этот файл классифицирует как Bad, но дает запустить. В другом же случае, этот же файл даже не дает скачать. Безобидный файл, повторяю.

Это прям какое-то "тут читаю, а тут рыбу заворачиваю".

Мда.

[mennen 100]

То есть, в одном случае этот файл классифицирует как Bad, но дает запустить. В другом же случае, этот же файл даже не дает скачать. Безобидный файл, повторяю.

Ну идеология компаний разная насчет безобидных файлов в которые уже кто-то вмешивался (крякалки разные и портативки-самопалки). А файл можно скачать только в архиве. Если не ошибаюсь, Norton вообще не проверяет архивы, только при распаковке уже.

Но если файл просто залит - будет блокировка..

[Burbulator 146]

мне вот интересно, как вообще появляется репутация "Bad"? Средствами Norton пользователь может поставить только хорошую репутацию, значит Bad - это деятельность Симантека. На основании чего? И почему в таком случае файловый антивирус их не удаляет, а только Download Insight на них реагирует?

[strat 275]

NIS считает что мы в азии а не в европе, а может так и есть. Азиопа.

[Z.E.A. 190]

Почему этого не произошло в данном случае - вопрос к Symantec.

Когда репутация плохая либо файл не проверен и нету в базе доверенных хэшей, выдается предупреждение, дабы воздержаться от запуска файла.

Это если его скачать через браузер и попробовать запустить (сработает "Контроль загрузок"). А если файлы взялся с флешки или другого носителя - то может сообщения и не быть.

[Rustock.C 110]

NIS считает что мы в азии а не в европе, а может так и есть. Азиопа.

Эскизы прикрепленных изображений

Всё правильно NIS считает. А курсором взять немного левее не вариант?

И где там вы видите город Moscow?

[Burbulator 146]

Rustock.C

Цитируйте правильно. Это не я писал

[x-sis 10]

Да и по - моему Азия занимает большую часть Европы, именно к Востоку, с того места, так что всё верно