[datensicherheit.de, 13.09.2011] Norman stellt mit seinem „Norman Malware Analyzer G2“ die neu konzipierte Plattform für die Erkennung und Analyse des gesamten Spektrums an Malware-Bedrohungen vor:
Schlüssel-Komponenten seien die „Norman SandBox“ sowie die neu entwickelte „IntelliVM“-Technik auf Grundlage von „Virtual Machine Introspection“ (VMI). Als Bestandteil von „Norman IntelliVM“ sorge „Norman KernelScout“, ein Beobachtungs-Agent auf unterster Kernel-Ebene, für sehr große Erkennungsgenauigkeit. Die Komponente „Norman Malware Debugger PRO“ stelle ein umfangreiches Tool-Set für klassisches Reverse-Engineering und Debugging zur Verfügung. Die Plattform könne kundenspezifisch angepasst und über Schnittstellen mit den Instrumenten einer bestehenden Analyse-Infrastruktur verknüpft werden. Eine übersichtliche webbasierte Konsole erleichtere den Malware-Analysten das Arbeiten mit der Lösung.
Großunternehmen, IT-Service Provider und Behörden unterliegen besonders hohen Anforderungen an den Schutz ihrer Datenbestände vor Diebstahl, Spionage oder Wirtschaftsspionage. Als Maßnahme zusätzlich zu den klassischen Schutzeinrichtungen analysieren sie den Code unbekannter Dateien, um deren Gefährdungspotenzial zu ermitteln. Die Code-Analyse verschafft ihnen Erkenntnisse, die ihnen erlauben, geeignete Schutzhandlungen manuell umzusetzen, sowie einen Zeitvorsprung gegenüber den Schutzfunktionen herkömmlicher Systeme. Automatisierte Analyse-Systeme beschleunigen dabei die Prozesse und verbesserten die Ergebnisqualität. Da setze „Norman Malware Analyzer G2“ an – das Hybrid-Verfahren aus Emulation und Virtualisierung gebe den Analyse-Spezialisten unterschiedliche hochmoderne Erkennungstechnologien auf einer Analyse-Plattform an die Hand. Da die Ergebnisse der Verfahren verglichen werden könnten, sinke die Wahrscheinlichkeit, dass Malware mit geschickter Tarnung unerkannt bleibt. Das Resultat seien detaillierte und präzise Erkenntnisse über Malware, die Schwachstellen in Anwendungen von Microsoft- und Drittanbieter-Produkten ausbeuten könne, sowie über das gesamte Gefahren-Spektrum aus dem Internet.
Zentrale Komponente von „Norman Malware Analyzer G2“ sei die „Norman SandBox“. Diese emuliere die in einer echten „Windows“-Umgebung eingesetzte Hard- und Software und alle erforderlichen Netzwerkdienste. Die zu analysierende Datei werde auf die simulierte Festplatte geladen und in der simulierten „Windows“-Umgebung gestartet. „Norman IntelliVM“ unterstütze die „SandBox“ bei der Suche nach Anzeichen für schädigendes Verhalten. Das Verfahren ziele auf die Erkennung von Malware mit bisher nicht bekanntem Aufbau. Außerdem verbessere es die Spiegelung kundenspezifischer Umgebungen für die Suche nach neuartigen bzw. gezielten Angriffen. Da zusätzlich weitere Umgebungen genutzt werden könnten, sei es Analysten möglich, über Anomalien und Unterschiede im Verhalten auch Malware mit ausgefeilter Tarnung zu erkennen. „KernelScout“ verfeinere die Beobachtung der untersuchten Software und verbessere die Erkennbarkeit beispielsweise von Rootkits sowie von Malware, die VM-Umgebungen erkennt und sich entsprechend unverdächtig verhält.

[datensicherheit.de, 28.11.2010] Britischen Medien zufolge wird der Wurm Stuxnet inzwischen auf dem Schwarzmarkt gehandelt:
Diese Entwicklung sei eine ernstzunehmende Bedrohung, die von Infrastrukturbetreibern nicht unterschätzt werden dürfe, so der norwegische IT-Security-Spezialist Norman. Dies sei laut David Robinson, Sicherheitsexperte für Industrieautomatisierung bei Norman, gleichbedeutend mit einem Scharfschützen, der ein geladenes Präzisionsgewehr auf die britische Infrastruktur richte. Es sei nur eine Frage der Zeit, bis der Code für jeden mit auch nur elementaren Programmierkenntnissen zugänglich werde. Wer entsprechende Kenntnisse besitze, könne diesen ändern und damit nicht nur die britische Infrastruktur, sondern auch die von anderen Staaten ins Chaos stürzen.
Dieser Malwaretyp könne jedoch nicht nur durch Memorysticks verbreitet werden – jeder Laptop und jedes Gerät mit einer Drahtlosverbindung innerhalb der Unternehmens-Firewall stelle ein Risiko dar. Es sei nur eine Frage der Zeit, bis „Stuxnet“ oder ein Nachfolgevirus weit genug entwickelt seien, um Schäden an Produktionsumgebungen anzurichten, in denen infizierte Laptops oder Mobilgeräte genutzt werden.