-
Как прислать новый вирус
Первый способ
1. Заходим https://submit.symantec.com/websubmit/retail.cgi
2. Вводим имя (First Name) и фамилию (Last Name)
3. Вводим действующий Email (придет ответ)
4. Выбираем нужный файл (File to upload)
Вы можете загружать сразу несколько файлов с помощью WinZip или аналогичной программы. Сжатый файл не должен быть защищен паролем. Максимальный размер для одного архива 10 Мбайт
Просьба представить не более 9 файлов в одном архиве, независимо от их размера.
Второй способ
1. Открываем Norton
2. Открываем "Карантин"
3. Нажимаем "Добавить в карантин" и добавляем нужный Вам файл
4. Нажимаем на добавленный Вами файл и нажимаем "Дополнительные сведения"
5. Нажимаем "Параметры"
6. Отправить в Symantec
Необходимо добавлять только один файл, не в архиве
Для информации - Ответ представителя Symantec в РФ Кирилла Керценбаума
Приоритет стоит на автоматизированном сборе информации о вредоносном коде без участия пользователей, Вы же должны понимать что угроза которая может стать опасна сотням или тысячам должна обрабатываться быстрее, чем угроза угрожающая нескольким или одному пользователю, хотя и анализ таких угроз конечно же производится. Чем больше людей присылает образцы с одинаковой HASH суммой - тем быстрее эта угроза будет проанализирована, очень сложно анализировать все и быстро - так как количество образцов в день исчисляется сотнями тысяч (клиентская база Symantec огромна и поэтому эта цифра так велика) - то невозможно все обрабатывать одинаково быстро, а "автоматическое" набивание сигнатур чревато увеличением количества Ложных срабатываний, а как Вы я думаю знаете иногда последствия от ложных срабатываний бывают куда хуже чем пропуск той или иной угрозы. Также стоит еще раз сказать о том, что сигнатуры сигнатурами, а без многочисленных технологий проактивной защиты как ты быстро не добавляй сигнатуры - пропуски все равно будут - поэтому большой упор делается и на это.
К сожалению невозможно нанять на работу 10 000 или больше аналитиков вредоносного кода - это дорого, да и где их столько найти, поэтому приходится расставлять приоритеты, иначе либо продукты станут заоблачно дорогими, либо (если увеличить автоматическую составляющую) количество ложных срабатываний значительно увеличится. И еще раз - сигнатурный анализ был, есть и будет в ближайшее время основной техникой в АВ продуктах, однако его эффективность становится все ниже и ниже.
http://club-symantec.ru/forum.php
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Акции по НИС и Н360 закончены. Надеюсь, они оказались полезными.
-
Осталось 2 ключа на НИС и 2 ключа на Н360. Опоздавшие на акцию и желающие использовать данные продукты Symantec, могут обратиться ко мне в ЛС.
http://club-symantec.ru/forum.php
-
-
По рекомендации своего коллеги и друга ALEX(XX) накопил некоторое количество вопросов к представителям Симантек и продвинутым пользователям их продуктов. Думаю, ответы на них будут интересны, поскольку являются злободневными в принципе для всех существующих антивирусных решений. Итак...
- Возможно ли отключение отдельных компонентов. Не приостановка - а именно полное отключение, которое будет воспроизводиться от загрузки к загрузке?
- Информация конфиденциальная, но возможно разработчик пойдёт на встречу нашему ресурсу Какова ситуация с депакреами? Сейчас актуально перепаковывание одних и тех же зловредов со снятием детекта. Такие репаки распаковываются, если да - то насколько эффективно (каков порядок известных алгоритмов распаковки?) или же детектируются по сигнатуре (типа Suspicious, Multipack и т.д.)? Ну и как активные примеры: распаковываются ли нелицензионные ASPack (aka Black.a), нелицензионная Themida и т.д.?
- Файервол/хипс. По какому признаку опознаётся процесс (по хэшу, если да - то какому, по имени, по расположению на диске, что то ещё - укажите).
- Настройки файервола/хипса. Имеется ли отслеживание ограничений родительских процессов? Каким образом можно хранить такие правила?
- Хипс. Можно привести список отслеживаемых операций, на которые можно устанавливать правила?
- Каково противостояние активному заражению? Современные черви (Kates, Pakes) убивают все процессы в User-Mode антивирусов по имени файла / имени окна / имени ресурсам в РЕ. Как эта проблема решена в продуктах Симантек?
- И как следствие - если GUI всё же удалось выгрузить из памяти - как себя поведут компоненты антивируса, хипса и файервола, включая Kernel-Mode компоненты?
- На каком уровне грузятся драйвера защиты? Перед Boot Bus Extender'ами? Если да - возможен ли аварийный запуск сканирования на раннем этапе загрузки системы без использования user32.dll и прочего - в консоли? Это заменило бы использование LiveCD в случае сложного заражения.
- Как организован антируткит? Последние зловреды показали, что обработка объектов диска недостаточна - пора спускаться чуть ли не до портов ввода-вывода (TDL3, ZeroAccess, Black Energy 2.1). В протиивном случае детект срабатывать может и будет, но удаление - нет. Как это решено в продуктах Симантека?
Ну это если кратко, захотите что-то от себя добавить - породит новые вопросы
Добавлено через 1 минуту
Да, и то, что сейчас стало очень злободневным - чуть не забыл Каков гарантированный срок ответа вирусных аналитиков на присланный сэмпл нового вируса / фалса / вредоносной ссылки?
Последний раз редактировалось gjf; 29.04.2010 в 01:15.
Причина: Добавлено
-
-
Уху, хорошие вопросы. Давайте уточним. Хипса, как у Касперского - тут нет. SONAR 2 полностью автоматический и принимает решения сам, от Вас ничего не требуется.
1. Отключить можно. Только в трее на Нортоне будет не галочка, а красный крестик, смотря что отключите
8. Есть "ранняя загрузка". В этом случаи Нортон грузится раньше остальных. Но на счет консоли не скажу. Нужно прочитать справку
Да, и то, что сейчас стало очень злободневным - чуть не забыл Каков гарантированный срок ответа вирусных аналитиков на присланный сэмпл нового вируса / фалса / вредоносной ссылки?
Ответ, что они добавили вирус в базу - не шлют. Когда отправляете вирус - приходит одно письмо с тикетом, если файл ушел на ручной анализ (людьми) - Вам приходит второе письмо и на этом все. Честно скажу, скорость реакции не на высоте.
На остальные вопросы ответить затрудняюсь... Не на столько знаю продукты Norton
Клуб любителей Symantec - http://symantecclub.ru/
-
-
Ну если всё автоматическое - это грустно. Очень грустно.
По поводу красного креста - то есть если я не хочу не хочу грузить бэкапы на сервера Симантека - я буду обречён видеть этот красный крест и не понимать, то ли у меня убило службу резидента из-за инфекции или я просто сделал так, как мне удобнее жить? Печально вдвойне.
На счёт "ранней" загрузки - ну если "раньше" userinit - то это далеко не всё. И если всё работает в виде окна - то тем более. Печально втройне.
Ну а суппорт - мда, похоже только у Веба осталось старое доброе быстрое реагирование и "человеческая" отписка. Надолго ли? Мир сдвинулся © "Тёмная башня"
Что я тебе говорил, Лёша?
-
-
На счет бекапов - нужно уточнить у тех, кто на 360 сидит. Можно переключить фаервол в ручной режим и включить контроль программ. Тогда он будет выдавать алерты при шорохах.
На счет автоматического сонара: для Вас грустно, а кто-то очень доволен. Вы, видимо, любите все делать вручную?
А что Вы Леше говорили?
Клуб любителей Symantec - http://symantecclub.ru/
-
-
Left home for a few days and look what happens...
-
-
Сообщение от
senyak
Хипса...- тут нет.
Хм. Насколько я помню, в нортоне есть контроль приложений. Что же это если не хипс? И по вопросам из того, что помню и видел. .В главном окне(нис, нав) можно отключать компоненты, там же настройки контроля их работы. .Список отслеживаемых операций хипсом в настройках Контроля приложений. .Был древний тест на антималваре по пакерам давным-давно, у симантека вроде там было с ними относительно неплохо. .Противостояние активному заражению как у всех, зависит от имеющихся прав в системе у вредоноса.
если всё автоматическое - это грустно. Очень грустно.
При наличии сонара, с точки зрения рынка сбыта это то, что нужно. Продвинутых, которым нужно много настроек и вопросов - единицы. Насколько я вник, у нортона несколько иной подход, отличный от привычного многим подхода касперского, сомодо, оутпоста.
Последний раз редактировалось herzn; 28.04.2010 в 19:37.
-
Контроль программ есть, но для меня это не совсем хипс. Хотя что-то похоже.
Сообщение от
ALEX(XX)
Gif высказал мнение, что нортон не так уж и улучшился со времён не столь отдалённых
Это как? Оптимизация, всякие улучшения, особенно SONAR, который очень хорошо ловит вирусы
Клуб любителей Symantec - http://symantecclub.ru/
-
-
Сообщение от
senyak
Это как? Оптимизация, всякие улучшения, особенно SONAR, который очень хорошо ловит вирусы
Улучшения есть однозначно, причём большие. Gif больше интересовали вопросы активного противодействия заразе, лечения при загрузке. Ну и детект
Добавлено через 36 секунд
Эти вопросы заданы не холивара ради. Действительно интересно как обстоят дела.
Последний раз редактировалось ALEX(XX); 28.04.2010 в 19:38.
Причина: Добавлено
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Gif больше интересовали вопросы активного противодействия заразе, лечения при загрузке.
Вы же понимаете, что нужно тестировать. Тяжело сказать, не испробовав в деле.
Клуб любителей Symantec - http://symantecclub.ru/
-
-
Сообщение от
senyak
Вы же понимаете, что нужно тестировать. Тяжело сказать, не испробовав в деле.
Да.. Это понятно. Но, я думал может есть уже данные от представителей.
Left home for a few days and look what happens...
-
-
http://club-symantec.ru/forum.php
-
-
По поводу красного креста - то есть если я не хочу не хочу грузить бэкапы на сервера Симантека - я буду обречён видеть этот красный крест и не понимать, то ли у меня убило службу резидента из-за инфекции или я просто сделал так, как мне удобнее жить?
Можно установить игнорирование не проведения бекапа, или поставить "вручную", тогда он не будет материться.
-
Сообщение от
gjf
мда, похоже только у Веба осталось старое доброе быстрое реагирование и "человеческая" отписка
На мои письма не разу не приходил ответ хотя бы в течении 24 часов.
Если тебе отвечают постоянно это не значит, что все хорошо.
С KLAN кому-то присылают ручные ответы, а кто-то ничего не получает.
О потоке который идет в вирлабы (доктор, симантек, kl) я промолчу - шквал, дятлов должен быть взвод, чтобы его контролировать. Поэтому многие не отправляют письма с ручным ответом через 30 минут, положив на файл тупую "чуку"- сигнатура, самая тривиальная, которая потом будет ловить чуть больше нескольких файлов.
Переходят на кластеризацию, многоконтурное изучение и создание сложных дженериков. Поэтому молниеносного ответа не стоит ждать не от кого.
Надеюсь мысль понятна, что ругать вирлабы аверов "вслепую" не следует. В носу там точно не ковыряют.
-
-
Вопросы были не холивара ради - в этом холиваре сгорят все, потому как (по секрету) я сомневаюсь, что достойно на все вопросы ответит хоть кто-то
Почему нужен ручной хипс - при достаточно глубоком контроле можно выстроить довольно гибкую политику каждого приложения, не позволяя ему творить нежелательные операции. Дело даже несовсем в вредоносной деятельности - ну не хочу я, чтобы Skype при обновлениях восстанавливал (даже потенциально) возможность режима супернода - я в хипсе пропишу запрет на определённый параметр реестра. То же в отношении большинства поведения винлокеров, раз уже хотим применительно к зловредам. Ну и так далее.
И я не хочу, чтобы вирлаб, даже очень именитый, автоматически шоркал правилами. Я хочу их как минимум видеть и как минимум быть способным изменять. Это не подход домохозяйки, я согласен, но на эту тему я уже бодался с ЛК - повторять больше желания не имею.
По поводу автоматизации, Гриша, я с тобой совершенно согласен и прекрасно понимаю, почему этот ход со стороны ЛК произошёл именно в разгар эпидемии винлокеров. Только что это дало? Опять же - не холивара ради, а правды для.
1. То, что дятел будет обрабатывать первичный поток - это выпуск тупых чук, которые больше фалсят. Сколько в итоге фалсов хотя бы Delfi правили аналитики? Итого: если раньше аналитики не успевали создавать сигнатуры, теперь они не успевают их снимать Видимость эффективного детекта? Ну-ну.... Даже Икарус с известным фалсом на пожатый UPX-ом notepad.exe в таком случае выглядит симпатичнее.
2. Автодятел работает крайне нестабильно. На моей только памяти два обширных падения, признанных ЛК (официально или нет - неважно, но на оффоруме писали). Сколько кланов в результате этого падения остались без ответа? Конечно, можно ждать, что пользователь повторит запрос. Я повторил три раза. Ответили на четвёртый, когда заметили, что дятел неадекватен. Это - нормально для пользователя? Не думаю.
3. Автодятел не решит проблему перепакованных зловредов. Скорее, добавит фалсов по пакеру.
4. Автодятел не напишет процедуру лечения файловых вирусов. Лично наблюдал несколько случаев, когда файловый вирус детектился только на удаление. Это длилось несколько месяцев, пока не ткнули носом конкретно.
5. Автодятел не решит проблему существующих ошибок. Пришлёшь известный сэмпл - тебя автоматически пошлют подальше, даже не вникая. Пример: Virut.p, до недавнего времени удаление имело больший приоритет, чем лечение. Видимо, вначале вирус признали, написали: удалять, а когда вышла процедура лечения, то предыдущий детект не убрали. Итого продукты не предлагали лечить типичный файловый вирус (при чём не новый), только удалить. Теперь поправили, указал.
Я понимаю, что при существующем потоке нужно как-то всё автоматизировать, но по факту имеем только усугубление ситуации.
Лёша, я gjf. Не анимированная картинка, а абрревиатура Gray Jack the Fixxxer. Буду в Чернигове - расскажу за пивом, откуда это взялось
-
-
Сообщение от
gjf
Лёша, я gjf
Позор мне!!!
Left home for a few days and look what happens...
-
-
У Symantec редко вирусы обрабатываются роботом. Он их скорей фильтрует и передает дальше
Клуб любителей Symantec - http://symantecclub.ru/
-
-
Junior Member
- Вес репутации
- 52
NORTON ANTIVIRUS 2010, сегоня поймал BSOD srtsp64.sys (((. от кого, а от нортона такой каки не ажидал, все я его УБИЛ!
win7x64