Norton 2010 Public BETA

[Vadim Fedorov 255]

Извините, друзья, заработался. Подскажите, вышло уже что-то под 7-ку или нет еще? А то ноутбук друга заждался уже

TANUKI, в Norton 2010 BETA изначально предусмотрена поддержка Windows 7.

Ссылки для загрузки находятся в первом сообщении данной темы.

[TANUKI 240]

TANUKI, в Norton 2010 BETA, изначально предусмотрена поддержка Windows 7.

Ссылки для загрузки находятся в первом сообщении данной темы.

Да, пардон, уже сам заглянул а сайт симантека и увидел Ждем 360 с поддержкой 7-ки

P.S. C первой страницы не смотрел, т.к. было много флуда думал, что он продолжается, а тему, оказывается почистили. Отлично!

[Vadim Fedorov 255]

Ждем 360 с поддержкой 7-ки

Выпуск финальных версий Norton Internet Security/Norton AntiVirus 16.7 и Norton 360 v3.5,

обеспечивающих совместимость с Windows 7 намечен на август.

[Vadim Fedorov 255]

В Norton Protection Blog размещена статья, посвященная технологии SONAR 2 -

http://community.norton.com/t5/Norton-Prot...96C02C6324#A335

[Guest Просто_Юзер]

обеспечивающих совместимость с Windows 7 намечен на август.

А выход 2010-ой линейки на какие числа примерно запланирован?

[priv8v 960]

размещена статья, посвященная технологии SONAR 2

а можно пару конкретных примеров зловредных действий?

(описать действия, например, - инжект через CreateRemoteThread).

[Guest Просто_Юзер]

Мне кажется,такие вопросы лучше задать напрямую разработчкикам.

http://community.norton.com/norton/?category.id=nis

[Vadim Fedorov 255]

А выход 2010-ой линейки на какие числа примерно запланирован?

Информация о планах заранее не сообщается.

Предположительно - осенью.

а можно пару конкретных примеров зловредных действий? smile.gif

(описать действия, например, - инжект через CreateRemoteThread).

priv8v, нет смысла заранее задаваться подобными вопросами, так как -

Please also have in mind that we are still tuning the detection technologies. SONAR was just finished a week before the beta came out.

Both, the Quorum scoring system and the SONAR decision engine will change a lot during the beta.

[Guest Просто_Юзер]

Но предположительно - осенью.

Ого...помнится 2009-ая линейка,"зарелизилась" ещё в августе,если мне не изменяет память.

[Vadim Fedorov 255]

Ого...помнится 2009-ая линейка,"зарелизилась" ещё в августе,если мне не изменяет память.

Память Вам изменяет - продукты Norton 2009 были выпущены в сентябре 2008 -

http://www.symantec.com/about/news/release...rid=20080909_01

[priv8v 960]

нет смысла заранее задаваться подобными вопросами, так как

А на сегодняшний день на что сонар в продуктах NIS, N360 обращает внимание?..

[Vadim Fedorov 255]

А на сегодняшний день на что сонар в продуктах NIS, N360 обращает внимание?..

------>

SONAR uses an algorithm to evaluate hundreds of attributes relating to software that is running on the computer, so it can spot malicious software,

whether it's already been identified by Symantec researchers or not.

Behavioral Detection engines monitor all applications running on the machine for suspicious behaviors.

Some examples of suspicious behaviors are "Writing to the run key", "Registering a BHO", "Modifying the etc/hosts files" etc.

[priv8v 960]

Можете показать скриншот его сообщения?.. (если не затруднит).

Вот, например, на этот файл (любой из архива):

http://dump.ru/file/2897743 (там модификатор файла хостс).

пароль на архив: 123

К сожалению ничего под рукой на данный момент другого нет. Я вообще не со своего компа - тут у меня ничего нет (просто нашел на другом форуме эту ссылку)

PS: проверил сейчас эти два файла на КИС 8.0.0.506 с дефолтными настройками - на файл на СИ заругался при запуске, а файлу на асме дал нормально отработать и не пикнул даже.

[Vadim Fedorov 255]

Можете показать скриншот его сообщения?.. (если не затруднит).

Вот, например, на этот файл (любой из архива):

http://dump.ru/file/2897743 (там модификатор файла хостс).

пароль на архив: 123

К сожалению ничего под рукой на данный момент другого нет. Я вообще не со своего компа - тут у меня ничего нет (просто нашел на другом форуме эту ссылку)

Результаты проверки на Norton Internet Security 2010 BETA -

1. Попытка запуска "Trojan_Hosts_75_c":

2. Попытка запуска "Trojan_Hosts_75_asm":

Модуль поведенческого анализа SONAR 2, работающий в продуктах Norton полностью в автоматическом режиме, успешно сработал в обоих случаях.

PS: проверил сейчас эти два файла на КИС 8.0.0.506 с дефолтными настройками - на файл на СИ заругался при запуске, а файлу на асме дал нормально отработать и не пикнул даже.

Так как Вы упомянули о Kaspersky 8.0.0.506, сделаю дополнение -

Kaspersky Internet Security 2010 v9.0.0.459 реагирует также как и Kaspersky 2009 v8.0.0.506:

работая в автоматическом режиме, при попытке запустить "Trojan_Hosts_75_c" задает пользователю вопрос доверяет ли он программе,

т.к. она не содержит цифровой подписи.

работая в автоматическом режиме, при попытке запустить "Trojan_Hosts_75_asm" Kaspersky Internet Security 2010 v9.0.0.459 никак не реагирует,

позволяя модификацию файла Hosts.

[Danilka 678]

Хочется и отметить "небольшой" минус SONAR 2 - частенько он удаляет нужные проги-которые ему не понравились. Жаль,что нет запроса действия...

[priv8v 960]

Vadim Fedorov, спасибо за полезную информацию. Не ожидал получить ее в таком количестве и в таком качестве. Спасибо

Но, пользуясь случаем, задам Вам еще два вопроса:

1). Как отреагируют на эти два файла сегодняшние релизные версии Нортона (NIS или N360)?

2). Что думаете по поводу того, что КИС обоих версий пропустил модификатор, написанный на асме? (общие мысли и вообще почему так вышло). Ведь файл не криптован, на уровне кода обфускации нет как и на других уровнях и он полностью идентичен по действиям файлу на С.

[p2u 824]

Офф-топ:

@ priv8v:

Разрешите небольшой офф-топ: батник ваш не только хочет модифицировать файл Hosts, а пытается ещё и создать его если он отсутствует, так? Я мой переименовал в XHosts, поэтому можно считать, что этого файла у меня нет. Вашему трояну (в лице cmd.exe) однако не удалось создать новый файл Hosts, даже в режиме Админа: К папке etc у меня задан для всех (даже SYSTEM) запрет на запись через пользовательские разрешения Windows.

1    17:31:42     cmd.exe    1536    CreateFile    C:\WINDOWS\system32\drivers\etc\hosts    NAME NOT FOUND    Desired Access: Generic Read/Write, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: Read, AllocationSize: n/a2    17:31:42     cmd.exe    1536    CreateFile    C:\WINDOWS\system32\drivers\etc\hosts    NAME NOT FOUND    Desired Access: Read Attributes, Disposition: Open, Options: , Attributes: n/a, ShareMode: , AllocationSize: n/a3    17:31:42     cmd.exe    1536    CreateFile    C:\WINDOWS\system32\drivers\etc\hosts    ACCESS DENIED    Desired Access: Generic Write, Read Attributes, Disposition: OpenIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: Read, AllocationSize: 04    17:31:42     cmd.exe    1536    CreateFile    C:\WINDOWS\system32\drivers\etc\hosts    NAME NOT FOUND    Desired Access: Read Attributes, Disposition: Open, Options: , Attributes: n/a, ShareMode: , AllocationSize: n/a

Сообщений об ошибках нет нигде.

Конец Офф-топа

Paul

[vaber 350]

http://dump.ru/file/2897743 (там модификатор файла хостс).

0040103E  |.  E8 37020000   CALL <JMP.&kernel32.CreateFileA>        ; \CreateFileA00401043  |.  A3 00304000   MOV DWORD PTR DS:[403000],EAX00401048  |.  833D 00304000>CMP DWORD PTR DS:[403000],00040104F  |.  0F84 18020000 JE Trojan_H.0040126D

SONAR 2, работающий в продуктах Norton полностью в автоматическом режиме, успешно сработал в обоих случаях.

Это кстати здорово, что стараетесь не задавать лишних вопросов пользователю.

[Кирилл Керценбаум 671]

Хочется и отметить "небольшой" минус SONAR 2 - частенько он удаляет нужные проги-которые ему не понравились. Жаль,что нет запроса действия...

Во-первых, настройки по-умолчанию, если не ошибаюсь, запрещают удаление файлов, обнаруженных SONAR, он лишь терминирует эти процессы, если что Вадим меня поправит. Во-вторых, понятие "частенько" здесь неуместно, за год использования NIS 2009 не столкнулся с этим ни разу, не забываем что в релизном продукте База Белых списков (то на что SONAR не должен реагировать) обновляется не реже одного раза в день

[priv8v 960]

Сообщений об ошибках нет нигде.

Посмотрите на мини-листинг от Василия - это ответ

Два этих файла были написаны мной на коленке минут за 15, поэтому ни о каких проверках, мессаджах, исключениях и т.д - и речи идти не может - написаны они были для проверки эвристики на файлы с такой деятельностью. Поэтому придираться к их технической реализации не нужно

Свое дело в обычных условиях они делают.

[p2u 824]

@ priv8v

Я просто к тому, что на некоторых ресурсах рекомендуется либо переименовать этот файл либо поставить атрибут 'Только Чтение', что в данном случае, не поможет.

Paul

[vaber 350]

Посмотрите на мини-листинг от Василия - это ответ wink.gif

Я вообще-то о другом - в коде ошибка. Ф-ция CreateFile в случае ошибки возвращает INVALID_HANDLE_VALUE, то бишь 0xffffffffh. а у тебя идет проверка EAX на нуль.

[priv8v 960]

поставить атрибут 'Только Чтение'

Хы))

Засунул сейчас файлы по очереди в отладчик и увидел, что в файле на СИ есть установка файлу хостс атрибута normal, а в файле на асме - нет

Но это не важно. Просто смешно, что в асм-коде я забыл тогда написать эту строчку))

Я вообще-то о другом

[Vadim Fedorov 255]

Но, пользуясь случаем, задам Вам еще два вопроса:

1). Как отреагируют на эти два файла сегодняшние релизные версии Нортона (NIS или N360)?

Вообще-то обсуждение NIS 2009 и Norton 360 v3.0 не будет соответствовать тематике данной темы,

но для логического завершения раскроем и этот вопрос -

В автоматическом режиме "по-умолчанию" продукты NIS 2009 и Norton 360 v3.0 не реагируют на запуск данных файлов.

(подчеркну, что речь идет о режиме offline, без доступа к Internet. В режиме online не проверял.)

С измененными настройками:

отображается уведомление, что позволяет предотвратить изменение Hosts:

2). Что думаете по поводу того, что КИС обоих версий пропустил модификатор, написанный на асме? (общие мысли и вообще почему так вышло). Ведь файл не криптован, на уровне кода обфускации нет как и на других уровнях и он полностью идентичен по действиям файлу на С.

priv8v, ну это ведь (обсуждение Kaspersky) уже совсем не будет соответствовать данной теме

Мне кажется, что подобные вопросы все-таки более корректно задавать в разделе Kaspersky.

[priv8v 960]

В автоматическом режиме "по-умолчанию" продукты NIS 2009 и Norton 360 v3.0 не реагируют на запуск данных файлов.

Удивлен, что Вы это сказали. Ранее такое на этом форуме не говорили никто

Я искренне рад, что в 2010 версии нортон на дефолтных настройках справляется с такими зловредами. Прогресс налицо.