Waehrend der letzten paar Monate haben wir viele Berichte wahrgenommen, die mit der Anwendung des Norton Power Erasers auf Empfehlung der Meldung “Ausgehender Datenverkehr festgestellt” des Angrifsschutzsystems (Intrusion Prevention System IPS) zusammenhingen. So habe ich einige Zeit daruf verwendet, mehr ueber den Sachverhalt herauszufinden und habe ein paar Vorfaelle aufgedeckt. Manche Fehler haben wir bereits abgestellt und eine weitere Korrektur kommt in Kuerze. Ich moechte diese Gelegenheit nutzen, mit Euch zu teilen, was ich gefunden habe und welche Korrekturen wir vornehmen.
Zuerst moechte ich Euch aber danken, dass Ihr im Fall der wiederholten Warnmeldungenso geduldig wart! Wir verstehen, dass unsere Antwort ueberfaellig ist und ich entschuldige mich dafuer, dass es so lange gedauert hat Euch in diesem Fall auf den neuesen Stand zu bringen. Ich hoffe, diese Information wird einiges Licht in die Sache bringen. Folgendes habe ich gelernt:
Wie soll diese Funktion (IPS) arbeiten?
Lasst mich zunaechst erklaeren, was die Warnung urspruenglich tun sollte. Wie einige von Euch bereits wissen werden, arbeitet unser Intrusion Prevention System (IPS) eng mit der Norton Firewall zusammen. Es ueberwacht auf eurem Computer jeglichen reinkommenden und ausgehenden Datenverkehr. Sein primaeres Ziel ist das Aufdecken und Blockieren von schaedlichem Datenverkehr bereits beim Eindringen in Euer System. Es ist zur Zeit sehr effektiv. Laut unserer Telemetrieinformation blockiert es im normalen Lauf, im Blick auf unsere gesamten Kunden, ueber 50% aller Angriffe. Die verbleibenden Angriffe werden weiterhin von unseren anderen Technologie aufgedekt.
Unter Ausnahmebedingungen, mag eine Gefahr an unserer Abwehr vorbei kommen und einen Computer infizieren. Wir wollen faehig werden diese Umstaende aufzudecken und etwas dagegen zu tun. Wir haben festgestellt, dass infizierte Computer oft “nach Hause telefonieren” um entweder Eure sensiblen Informationen einem Externen Angreifer hochzuladen oder um neue Instruktionen abzuholen, was als naechstes auf Eurem Computer geschehen soll. Da IPS auch den ausgehenden Datenverkehr ueberwacht, konnten wir vor einigen Jahren aus dieser Faehigkeit den Vorteil ziehen, diese Zeichen von ausgehender Kommunikation wahrzunehmen und mit einem infizierten Computer in Verbindung zu bringen. Die Warnung “Outbound Traffic Detected/Ausgehender Datenverkehr festgestellt” ist unsere technische Art zu sagen „Du bist infiziert!“ Unsere allgemeine Empfehlung fuer Kunden, die denken sie sind infiziert, ist Norton Power Eraser laufen zu lassen. So ist es auch das, was die IPS-Warnung empfiehlt.
Warum also denken wir, hat es in den letzten zwei Monaten einen Anstieg an Warnungen gegeben?
Wir denken, zwei zusammenhaengende Sachen haben dazu beigetragen. Erstens glauben wir, ein fehlerhaftes IPS Signatur-Update hat einen Anstieg an False-Positive Meldungen verursacht, mit anderen Worten eine Warnung ueber eine Situation die tatsaechlich nicht den Tatsachen entsprach. Zum Zweiten haben wir einen Fehler festgestellt im Suppression-System, das meint, das eine Situation wiederholt auftritt, selbst nachdem unsere Kunden uns angewiesen haben sie zu ignorieren. Lasst mich diese zwei Punkte etwas detailierter beschreiben:
1. Eine schlechte Intrusion Prevention System Signatur verursacht False-Positives, besonders im July.
Beim Nachforschen habe ich einen Anstieg an Meldungen waehrend des July 2015 festgestellt. Ein wenig tiefer grabend, war es mir moeglich aufzudecken, dass einige Browser bezogene Plugins die Quelle fuer einigen ausgehenden Datenverkehr waren. Diese haben ausgeloest, dass die kurz vorher aktuallisierten IPS –Signaturen ansprechen. Die Signaturen wurden am 9ten July 2015 freigegeben. Es brauchte eine Woche oder zwei, dass der Datenverkehr sich anhaeuft zu einem Punkt, an dem eine Nachforschung ausgeloest wurde. Aktuallisierte saubere Signaturen wurden freigegeben am 28sten July 2015 und sofort fiel die Anzahl der Warnmeldungen.
2. “Diese Meldung nicht mehr anzeigen” arbeitet nicht wie gewuenscht.
Wenn einem Kunden eine Warnmeldung gezeigt wird, ist typischerweise eine Moeglichkeit zum Markieren mit in der Meldung die sagt “Diese Meldung fuer diesen ausgehenden Datenverkehr nicht mehr anzeigen”. Dies ist unsere Art dem Kunden eine Moeglichkeit zu geben um zu bestimmen “Ja, ich sehe diesen Vorfall, aber ich denke nicht, dass es etwas ist ueber das ich mir Sorgen machen muesste, also melde mir das nicht mehr”. Sobald diese Option markiert ist, soll uns das sagen, dass wir diese Situation zukuenftig ignorieren sollen. Nun, es stellte sich heraus, es gab einen Fehler in diesem Teil der Programmierung. Das Resultat davon war, dass wir weiterhin die Warnung anzeigten, selbst nachdem ihr uns gesagt hattet es zu unterlassen. Das war sicherlich aergerlich. Das tut uns sehr leid.
Die Fehlerbehebung ist geplant mit unserem naechsten Client Update Ende September 2015. Ihr muesst nichts weiter unternehmen, da der Client automatisch auf den aktuellsten Stand upgedated wird.
Was ist zu tun, wenn Du weiterhin die Warnmeldung bekommst (oder Anzeichen einer Infektion feststellst).
So, nun wird die Sache etwas interessant. Wie oben beschrieben, ist die Produktwarnung kreiert Dich ueber verdaechtigen, ausgehenden Datenverkehr zu informieren. Das heisst, dass Dein Geraet tatsaechlich infiziert ist. Wir haben die fehlerhafte Signatur bereits behoben. Das heisst, das jedesmal wenn Du jetzt die Warnmeldung siehst, Dein Computer tatsaechlich infiziert ist. Darum empfehlen wir, setze nun Norton Power Eraser ein, um zu bestaetigen, ob Dein System frei ist von Schadsoftware. Unter normalen Umstaenden benoetigt der Scan weniger als 5 min und wird dir ein ruhiges Gewissen verschaffen, wenn keine Gefaehrdung gefunden wurde. Ungewoehnlich, aber sollte es vorkommen, dass Du Anzeichen einer Infektion selbst nach Ausfuehren des Scan durch Norton Power Eraser wahrnimst, erwaege folgende Schritte:
- Sieh Dir die Support Artikel (Knowledgebase-Artikel) durch, unter dem Thema “Bedrohungsentfernung”. Dort ist eine Sammlung von bereits gefunden Loesungen wie verschiedene ungewuenschte Symtome entfernt werden.
- Erwaege einen kompletten System-Scan mit unserem Norton Bootable Recover Tool (NBRT). NBRT ist designed alle Laufwerke zu scannen und nach Gefaehrdungen zu suchen, die sich ueblicherweise im Bootsector verbergen. Dieser Scan benoetigt ueblicherweise gegen 1-2 Stunden und das Tool kann hier heruntergeladen werden.
- Kontaktiere unseren Support, nachdem Du alle oben empfohlenen Schritte gegangen bist. Mit gueltiger Laufzeit eines Produkts als Norton Kunde, gilt das Norton Virenschutzversprechen (Virus Protection Promise VPP) das 100% Virusentfernung garantiert. Click hier um mehr zu erfahren ueber das Norton Virenschutzversprechen.
Ich denke, das fasst meine Erkenntnisse zusammen. Schaut trotzdem in die naechste Freigabe fuer den Windows Client, da wird der Fall „Diese Meldung nicht mehr anzeigen“ auch angesprochen.
Ich moechte mich nochmals bedanken, fuer Eure Geduld mit diesem Vorfall. Bitte zoegert nicht, mich anzusprechen, wenn ihr mehr Warnmeldungen feststellt, von denen ihr annehmt, dass sie falsch sind.