NAV/NIS 2012.

[wx. 45]

лучше обратиться сюда https://submit.symantec.com/false_positive/

По ссылке - Report Detection of a Suspected Clean File (False Positive).

sda, объяснить вам чем отличается лечение активного заражения от ложного срабатывания, или вы все-таки попробуете понять это самостоятельно?

[SDA 750]

По ссылке - Report Detection of a Suspected Clean File (False Positive).

sda, объяснить вам чем отличается лечение активного заражения от ложного срабатывания, или вы все-таки попробуете понять это самостоятельно?

http://английский-освой-легко.рф/index.html?from=yadd

[Umnik 997]

sda

Ты, видимо, пытался сказать про false negative...

[SDA 750]

sda

Ты, видимо, пытался сказать про false negative...

В том числе Некоторые модификации TDL Нортон вообще "обзывает" непонятно как Вот пусть в Вирлабе и разбираются. Вообще, как было уже отмечено в теме, упор Symantec на предотвращение заражения, а это "облако", проактивка, эвристика идут следом. Это только в тестах ставят Нортона на зараженную систему лечить, в реальности таких случаев мизер, в основном при установке Нортона на систему, где отсутствовал, какое то время антивирус.

Кстати, по поводу "облаков" неплохой обзор Владимира https://skydrive.live.com/?cid=586B9203C356...mp;sc=documents правда облачные технологии Symantec он там не затронул, не его продукт Ну я думаю, по поводу "облаков" ты в теме и без его обзора.

[wx. 45]

Обнаружил, что в определенных случаях для обхода репутационного анализа Download Insight в Нортоне 2012 -

достаточно применить такой высокотехнологичный метод обфускации, как...ZIP архив. И самое прискорбное заключается в том, что это не шутка.

Для проверки проделал следующий тест:

Загрузил на файлообменник две копии вредоносного файла, еще не добавленного в ав-базы Симантека.

Одна копия была загружена как есть - в виде исполняемого файла, а другая в виде ZIP архива.

При скачивании исполняемого файла срабатывает репутационный анализ Download Insight и файл удаляется как небезопасный.

После этого сразу же скачал вторую копию файла в ZIP архиве. Разархивировал. Ни Download Insight, ни Auto-Protect не сработали.

Последующему запуску файла тоже ничего не помешало и произошло заражение.

И это выявило еще одну проблему - отсутствие синхронизации между модулями. При скачивании первой копии в виде исполняемого файла - был произведен расчет хеша, информация о котором должна была быть помещена в локальную базу данных - в данном случае, как о небезопасном/недоверенном файле. Несмотря на это, SONAR позволил запуск и выполнение вредоносного файла, ранее заблокированного модулем Download Insight.

Если это очередной чудесный баг, то зная как "оперативно" Симантек решает такие проблемы, даже не берусь предположить когда последует исправление.

Если же это такой тупорылейший By-Design (что тоже вполне возможно, учитывая долю индусо-пакистанского "профсоюза" кодеров в разработке продуктов Symantec),

то все обстоит совсем печально.

Записал мультик, в котором все наглядно показано - http://rghost.net/private/22253911/62fcc8c...536a291d21171e3

Пароль: test

[Burbulator 146]

wx.

какой кодек надо ставить для просмотра?

[wx. 45]

какой кодек надо ставить для просмотра?

Либо кодек с сайта VMware, либо просто использовать VLC player - в него изначально встроен необходимый набор кодеков.

[ANDYBOND 283]

To wx.!

При скачивании первой копии в виде исполняемого файла - был произведен расчет хеша, информация о котором должна была быть помещена в локальную базу данных - в данном случае, как о небезопасном/недоверенном файле.

Два момента. Это не баг. И разработчики иного мнения, потому и не стали вводить такой, бесконечно раздувающий локальные базы, алгоритм. Причина: это мусоросборник получится, а не база. Но. Локальные базы есть. Но обновляются они централизованно вместе с полными обновлениями баз антивирусных. Можно поспорить с таким подходом, но главное - так задумано.

К слову, вот это, пожалуй, был первый случай здесь, в теме, когда NIS 2012 протестировали именно в той ситуации, на которую он расчитан: имеем некую угрозу - как отреагирует продукт. Да, был взят заведомо неизвестный сигнатурно образец, но это вполне реальная ситуация.

[DaTa 182]

Почему мусорозборник, неужели Вы думаете что среднестатистический пользователь, может накачать столько исполняемых файлов, чтобы файл(база) в котором будут хранится хеши вырос хотябы на 10 КБ. Ведь хэш даже по sha-256 алгоритму - это 64 байта. Тоесть если 1024 * 10 / 65 (один знак на разделитель) то у нас получится 157 хэш сум. Тоесть в размер в 10 КБ влезет грубо говоря 157 файлов. Вы столько качаете в день?

Более того туда можно будет вносить только хеши с файлов с плохой репутацией. Вы уверенны что пользователь накачает из интернета 157 исполнимых файлов с очень низкой репутацией? (Если даже неработающий пользователь сидит весь день на пролёт, а это около 12 часов в стуки то ему чтобы достичь этой цифры нужно качать по 13 файлов в час, извините но многие Trojan-Downloader качают меньше )

Более того, этот хеш можно будет просто кешировать на 1 - 2 дня после чего удалять. Что что но мусорника уж точно сдесь не получится.

[wx. 45]

Два момента. Это не баг. И разработчики иного мнения, потому и не стали вводить такой, бесконечно раздувающий локальные базы, алгоритм. Причина: это мусоросборник получится, а не база. Но. Локальные базы есть. Но обновляются они централизованно вместе с полными обновлениями баз антивирусных. Можно поспорить с таким подходом, но главное - так задумано.

Вы не поняли о чем идет речь.

Речь идет НЕ об антивирусных и т.п. базах, а о локальной базе данных (хранится в файле SYMEFA.DB), в которой _в процессе работы_ сохраняется информация об атрибутах и хешах файлов.

- "How do you associate the SHA256 and trust attributes with the file?

- We store the information in a very high performance and secure product-specific database"

После блокировки первой копии вредоносного файла - информация о его атрибутах, хеше и неблагонадежности должна была попасть в эту базу (по крайней мере, мой разум другого варианта допустить не в состоянии).

Несмотря на это, минутой позже SONAR позволил запустить вторую копию вредоносного файла. И именно в этом и заключается проблема - либо это весьма серьезный баг, либо это вселенский идиотизм by-design и Нортон не сохраняет в подобных случаях информацию о вредоносных файлах _локально_.

[Burbulator 146]

Несмотря на это, минутой позже SONAR позволил запустить вторую копию вредоносного файла. И именно в этом и заключается проблема - либо это весьма серьезный баг, либо это вселенский идиотизм by-design и Нортон не сохраняет в подобных случаях информацию о вредоносных файлах _локально_.

имхо Сонар использует информацию о "надежности" файла лишь как один из последних аргументов. И причина этому, скорее всего, в бардаке в самой базе репутаций (той самой облачной).

Вот тут http://forum.symantecclub.ru/viewtopic.php...tart=600#p80548 пользователь жалуется, что файлы .msi с цифровой подписью от Майкрософт имеют репутацию ненадежных.

Т.е. по логике верно - такие файлы должны немедленно удаляться, а на практике - для стабильности системы при принятии решений репутацию нужно игнорировать.

[Umnik 997]

То есть багу не поправили.

[Burbulator 146]

То есть багу не поправили.

похоже, что не поправили

[treme 41]

сорри за оффтоп. wx.=gx>=Vadim Fedorov?

[DaTa 182]

имхо Сонар использует информацию о "надежности" файла лишь как один из последних аргументов. И причина этому, скорее всего, в бардаке в самой базе репутаций (той самой облачной).

Вот тут http://forum.symantecclub.ru/viewtopic.php...tart=600#p80548 пользователь жалуется, что файлы .msi с цифровой подписью от Майкрософт имеют репутацию ненадежных.

Т.е. по логике верно - такие файлы должны немедленно удаляться, а на практике - для стабильности системы при принятии решений репутацию нужно игнорировать.

В общем то репутацию вообще нужно игнорировать если файл подписан легитимной цифровой подписью. Наверное SONAR "видит" подпись и поэтому не удаляет файлы, чего не скажеш о Insinght.

Да есть еще один баг, при использовании сканирования в безопасном режиме все саморазвёртывающиеся архивы(в основном .exe & .msi файлы) начинают содержать вирусы и должны быть немедлено удалены.

[Burbulator 146]

В общем то репутацию вообще нужно игнорировать если файл подписан легитимной цифровой подписью. Наверное SONAR "видит" подпись и поэтому не удаляет файлы, чего не скажеш о Insinght.

Файлы с хорошей цифровой подписью имхо всегда имеют хорошую репутацию (она даже не запрашивается в облаке).

Но меня смущает другое: в бете вводили проверку ЦП для MSI файлов http://www.anti-malware.ru/forum/index.php...mp;#entry129040 , неужели убрали из релиза?

[Umnik 997]

Файлы с хорошей цифровой подписью имхо всегда имеют хорошую репутацию (она даже не запрашивается в облаке).

Не думаю, что будут делать такую дырку в безопасности. Облако должно иметь приоритет перед подписью.

[SBond 253]

С репутацией в новом NIS далеко не все так гладко, мало того, перевод действий с файлом мягко скажем тоже хромает.

Пример произошел совсем не так давно. Будучи на работе, мне позвонил ребенок, который с моего разрешения скачал новый клиент игры World of Tanks (версия 0.6.7, общим весом более двух гигабайт) и спросил меня, как ему поступить из-за того, что NIS заблокировал файл, так как у этого файла мало пользователей и он не имеет доверия и тд тп... Хм, я попросил, чтобы он посмотрел в окне блокировки возможность исключения из правил. Как оказалось позже, NIS в прямом смысле исключил файл, не, я конечно согласен, онлайн игры и тд это можно сказать зло, а сэкономленное место диске всегда хорошо в пользу безопасности, чем он чище тем лучше оная...

Получилось так, что это уже был не первый случай, когда NIS может из-за репутации убить файл, причем без спроса... а тут вроде подстроил, чтобы спрашивал, спросил..., ничего не скажешь.

Теперь лицензионный NIS покинул все мои компьютеры, нет-нет, ничего не хочу плохого сказать про него, больше того, считаю, что Norton одно из самых лучших решений в мире, но лично мне он не подходит... Жаль, что теперь две пропадающие лицензии мне не нужны, ни на каком компьютере...

Не стал писать другие недостатки, чтобы это не было похоже на жалобы... Хотя отчасти так получилось, прошу меня простить.

[senyak 330]

Да, репутация может убить и нормальные файлы(

[SDA 750]

У меня стоит бетка Firefox 7, естественно постоянно идут обновления, NIS постоянно выбрасывает алерт на инсталятор "мало пользователей, файл надежный" Тоже как пример.

Вообще, за все время, что использую НИС, "зарубил" файлы всего два раза, первый раз на NoCD/NoDVD (раздражают меня такие игрушки с поддержкой диска) и недавно инсталлятор на новый мод к Total War. В обоих случаях, два клика - "восстановить из карантина" и "не проверять". Все

[SBond 253]

Да, репутация может убить и нормальные файлы(

У меня стоит бетка Firefox 7, естественно постоянно идут обновления, NIS постоянно выбрасывает алерт на инсталятор "мало пользователей, файл надежный" smile.gif Тоже как пример.

В принципе, все потом подправят, и все будет хорошо, даже весьма редкий мой менеджер паролей добавили, все время его добавлял в исключение, а тут говорит - все отлично, программе можно доверять... И двух лет не прошло

Мне кажется надо все-таки производителю подумать над этим вопросом, так как любому мало опытному пользователю это может не понравится. Конечно, все и вся в репутацию не добавить, а тем более новое что-то надо успеть, но на счет удаления надо все-таки быть осторожнее

[Dmitriy K 603]

Файлы с хорошей цифровой подписью имхо всегда имеют хорошую репутацию (она даже не запрашивается в облаке).

File name: openoffice.exe

Submission date: 2011-09-20 12:23:31 (UTC)

Current status: finished

Result: 18/ 44 (40.9%)

[Danilka 678]

Dmitriy K

А скинь ка в личку отчет с ВТ.

[Burbulator 146]

Dmitriy K

под хорошей ЦП я подразумевал ту, которой доверяет Симантек. Имхо у них нет доверия любой ЦП.

[Rustock.C 110]

Имхо у них нет доверия любой ЦП.

Верно сказано.