Sandbox untersucht verdächtige Programme
Das Projekt CWSanbox hat sich die Analyse unbekannter Programme auf die Fahnen geschrieben. Dazu startet es verdächtige Programme in einer virtuellen Maschine und führt dabei über dessen Aktivitäten Buch.
Im Rahmen einer Diplomarbeit am Laboratory for Dependable Distributed Systems der Universität Mannheim entstand CWSandbox – ein Projekt zur Untersuchung von verdächtigen Programmen. Jetzt steht auch ein öffentlicher Zugang bereit, über den man potenzielle Schädlinge an den Scanner übergeben kann. Dieser startet den Probanden in einer isolierten virtuellen Maschine (VMWare) und registriert dabei alle relevanten Aktivitäten.
Als Ergebnis der Analyse erhält man unter anderem eine Liste der neu erstellten Dateien und Registry-Einträge sowie der dabei gestarteten Prozesse, die ebenfalls gleich analysiert werden (siehe Beispielreport). Insbesondere zeichnet CWSandbox auch eventuelle Netzwerkaktivitäten auf. CWSandbox kommt bereits seit einiger Zeit im Umfeld des Projekts MWCollect zum Einsatz, das über verteilte Honeypots automatisiert Schädlinge einsammelt.
Das Web-Interface befindet sich derzeit in einem öffentlichen Beta-Test. Es ist unter https://luigi.informatik.uni-mannheim.de / submit.php zu erreichen, aber sicher noch nicht für große Last ausgelegt und deshalb nicht direkt verlinkt. Der Antivirenhersteller Norman betreibt bereits seit einiger Zeit eine ähnliche Sandbox, bei der allerdings ein vereinfachtes Dummy-API nur ausgewählte Informationen auswertet. (ju)
