image

Symantec Antivirus geeft vals alarm bij Nullsoft Installer

woensdag 5 juli 2006, 09:56 door Redactie, 9 reacties

Maandag klaagden verschillende gebruikers van Wireshark (Ethereal) dat Symantec AntiVirus een Trojaans paard in de software vond. Verder onderzoek heeft nu uitgewezen dat het niet gaat om een Trojan in Wireshark, maar om een "vals alarm" dat bij de gebruikte Nullsoft Installer wordt gegeven.

De Nullsoft Installer (NSIS) is een open source programma dat onder andere door WinAmp en WireShark wordt gebruikt. Het schijnt niet de eerste keer te zijn dat Symantec een "false positive" geeft bij de NSIS installer. (ISC)

Reacties (9)
05-07-2006, 10:35 door Anoniem
Symantec / Norton = Rommel
Wie dat nou nog niet weet....
Ze detecteren de verkeerde dingen en hun signatures bestaan altijd uit
simpele text strings
05-07-2006, 10:55 door Anoniem
Door Anoniem
Symantec / Norton = Rommel
Wie dat nou nog niet weet....

Symantec kun je niet vergelijken met Norton op antivirus.
Symantec AV is stukken beter dan Norton en een enorme
appel-peer vergelijking.
05-07-2006, 11:14 door Anoniem
Door Anoniem
Door Anoniem
Symantec / Norton = Rommel
Wie dat nou nog niet weet....

Symantec kun je niet vergelijken met Norton op antivirus.
Symantec AV is stukken beter dan Norton en een enorme
appel-peer vergelijking.

Vreemd??? Symantec en Norton is bij mijn weten een en hetzelfde bedrijf,
want Norton Anti Virus (NAV) heet tegenwoordig Symantec Antivirus (SAV)
05-07-2006, 11:58 door Anoniem
Norton producten zijn voor de particulier en zijn inferieur in vergelijking met
de Symantec lijn (bijv SAVCE) die vooraleer op de bedrijfsmarkt is gericht.

Vandaar de appel en peer theorie.

Desalniettemin code blijft code. Dergelijke producten zullen nooit perfekt
zijn! e.g. sym engine vulnerability onlangs?
05-07-2006, 13:23 door Anoniem
Door Anoniem
Norton producten zijn voor de particulier en zijn inferieur in vergelijking met
de Symantec lijn (bijv SAVCE) die vooraleer op de bedrijfsmarkt is gericht.

Vandaar de appel en peer theorie.

Desalniettemin code blijft code. Dergelijke producten zullen nooit perfekt
zijn! e.g. sym engine vulnerability onlangs?


Norton en Symantec maken gebruik van dezelfde definities. Alleen de
programmacode erom heen is anders. Maar feitelijk detecteren ze met
deze definities hetzelfde. Zowel de particuliere antivirus client (Norton
Antivirus) als de zakelijke antivirus client (Symantec Antivirus Corporate
Edition) van Symantec Corporation detecteceerde een trojan.zlob in die
installers.
05-07-2006, 13:31 door Anoniem
Naar mijn weten is het probleem van de false-positive opgelost.
Gisteravond heb ik de rapid release updates bij Symantec gedownload en
nu wordt Wireshark (het setupbestand, en het uninstall.exe bestand als
het al reeds geinstalleerd is) niet meer herkend als deze trojan.
05-07-2006, 15:46 door G-Force
Door Anoniem
Symantec / Norton = Rommel
Wie dat nou nog niet weet....
Ze detecteren de verkeerde dingen en hun signatures bestaan
altijd uit
simpele text strings

Omdat er één fals positive wordt gevonden, daarom is alles maar rommel?? Over-versimplivisering van de feiten noem ik dat, en getuigt van wel erg weinig deskundigheid over AV-producten. Bovendien is er al lang een fix uitgegeven om het probleem te verhelpen.
05-07-2006, 16:43 door SirDice
Door Peter.V
Omdat er één fals positive wordt gevonden, daarom is alles maar rommel??
Er wordt regelmatig dit soort ellende gevonden (false positives) om nog maar te zwijgen over de hoeveelheid false negatives, die vele malen erger zijn. Bovendien vreet het pakket systeem resources.. Kortom een but pakket..
06-07-2006, 17:24 door Leopard
Door Peter.V
Door Anoniem
Symantec / Norton = Rommel
Wie dat nou nog niet weet....
Ze detecteren de verkeerde dingen en hun signatures bestaan
altijd uit
simpele text strings

Omdat er één fals positive wordt gevonden, daarom is
alles maar rommel?? Over-versimplivisering van de
feiten noem ik dat, en getuigt van wel erg weinig
deskundigheid over AV-producten. Bovendien is er al lang een
fix uitgegeven om het probleem te verhelpen.

het gaat zeker niet om 1 probleem, maar meerdere
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.