Malware-Analyse auf Linux-Rechnern

Exploits in Microsoft Office und anderen Programmen finden

(29.09.08) - Norman Data Defense Systems hat ihre "SandBox Analyzer"-Produktreihe um neue Funktionalitäten erweitert. Die Lösung für die automatisierte Analyse unbekannten Codes läuft jetzt auch auf Linux-Rechnern. Damit trägt Norman dem vermehrten Einsatz von Linux-Betriebssystemen in Unternehmen Rechnung. Weiterhin können die Analyzer-Produkte der neuen Version neben ausführbarem Code auch Exploits in Microsoft Office und anderen verbreiteten Programmen aufspüren und analysieren, die nicht direkt ausführbar sind. Die Entwickler im Unternehmen können dadurch sowohl den Aufwand für Malware-Analyse als auch die Gefährdung für das Unternehmen erheblich verringern, insbesondere auch bei Zero-Day-Exploits.

Die Kernkomponente der Produktreihe, die simulierte Rechnerumgebung SandBox, wurde ebenfalls optimiert: Ein neuer Emulator beschleunigt den Analyse-Prozess um zehn Prozent und verbessert die Erkennungsrate um 20 Prozent.

Große Unternehmen mit sehr viel Netzwerkverkehr bzw. mit sehr hohem Sicherheitsbedarf, Banken beispielsweise, weltweit agierende Konzerne oder Regierungsbehörden, laufen Gefahr, dass sie zu den ersten gehören, die von einer Infektion durch neue, unbekannte Malware betroffen sind. Um unmittelbar reagieren zu können, analysieren sie den Code verdächtiger Software selbst und setzen ihre Erkenntnisse unmittelbar in individuelle Schutzvorkehrungen um. Der hohe Aufwand einer manuellen Analyse entfällt durch den Einsatz von Analysetools mit automatisierten Prozessen und den darauf basierenden Diensten von Virenschutzprofis wie Norman Data Defense Systems. Zu der Profi-Produktreihe von Norman gehören die Tools "SandBox Analyzer" und "SandBox Analyzer Pro" sowie die Dienste "SandBox Online Analyzer" und "SandBox Reporter".

Kernkomponente der Analyzer-Produkte ist die Norman SandBox, ein voll simulierter, innerhalb der Analyzer-Anwendung isolierter Computer oder ein Netzwerk. Die zu analysierende Datei kann in der simulierten Umgebung völlig frei agieren. Alle Aktionen werden aufgezeichnet. SandBox Analyzer stellt die Ergebnisse "quick & dirty" in einer userorientierten grafischen Oberfläche dar. SandBox Analyzer Pro ermöglicht dem Entwickler das Monitoring und die Manipulation der SandBox-Umgebung in Echtzeit. Untersucht werden können Dateien und am simulierten SandBox-Betriebs-system vorgenommene Änderungen. SandBox Online Analyzer ist die Kombination ausgewählter Analzer- und Analyzer-Pro-Funktionalitäten als Online-Angebot. Die Online-Lösung eignet sich insbesondere für Unternehmen, die nur über beschränkte Analyse-Kapazitäten verfügen oder die selbst keine Ressourcen für die Virus-Analyse bereitstellen können oder wollen. Der Informations-dienst SandBox Reporter hält Unternehmen über die von Norman in den vergangenen 24 Stunden identifizierte Malware auf dem Laufenden. Die Abonnenten des Dienstes erhalten eine Liste aller im Zeitraum eingegangenen Schadcodes mit den URLs, die in einen URL-Sperrfilter übernommen werden können. (Norman: ra)