Das Aufspüren von Viren auch in komprimierten Dateien möglich

Virenschreiber nutzen zunehmend Packer, um Malware am Virenscanner "vorbeizuschmuggeln"

(15.05.08) - Norman Data Defense Systems hat die Malware-Analyse-Lösung "Norman Sandbox Analyzer" um Analysefunktionen für die Packer Themida und Slovak Protector (SVKP) erweitert. Dadurch können Unternehmen mit sehr hohem Sicherheitsbedarf auch Malware aufspüren, die in Form einer komprimierten Datei von Virenschutzlösungen bislang nicht oder kaum erfasst werden kann. Mit den Ergänzungen reagiert Norman auf den Trend bei Virenautoren, Malware als gepackte Datei zu verbreiten.

Die neuen Funktionen sind in den Analyse-Produkten SandBox Analyzer und SandBox Analyzer Pro integriert. In den auf den Produkten basierenden Diensten "SandBox Online Analyzer" und "SandBox Reporter" sind die Verbesserungen ebenfalls wirksam.

Echtzeitpacker wie Themida oder Slovak Protector (SVKP) verringern die Größe einer Datei vor der Übermittlung, beeinträchtigen ihre Ausführbarkeit jedoch nicht. Virenschreiber nutzen daher zunehmend Packer, um Malware am Virenscanner "vorbeizuschmuggeln". Dabei wird das Schutz-system beispielsweise mit dem Entpacken einer nahezu unendlich oft gepackten Datei ausgelastet oder überlastet. Obwohl der Scanner den Virus über Erkennungsregeln oder Signaturen eigentlich erkennen müsste, kann die Datei ihre Schadroutinen ungehindert ausführen.

Die Produkte der SandBox Analyzer-Familie ermöglichen die detaillierte Analyse der Aktivitäten-muster unbekannter Dateien und Programme. Die Dateien werden klassifiziert (W32/Backdoor; W32/Worm; W32/Downloader etc.) und auf eine Virensignatur überprüft.

Weitere Analysen halten fest, ob Änderungen am Dateisystem bzw. an Registry und Systemein-stellungen versucht sowie Angriffe auf Netzwerkdienste und andere Downloads unternommen wurden. Für die Deep-File-Analyse kann zusätzlich SandBox Analyzer Pro eingesetzt werden. Über die klassischen Debugging-Funktionen des Analyzers hinaus ermöglicht der Analyzer Pro das Monitoring und die Manipulation der emulierten SandBox-Umgebung in Echtzeit. (Norman: ma)