Uoppdagede datavirus fanges i et virtuelt nett

Norman har lansert versjon 2 av sin "Sandbox", der datavirus fanges i et avstengt virtuelt nett inne i en datamaskin.

Den norske virusverneren Norman har, i likhet med konkurrentene, lenge arbeidet med virusfeller som også er i stand til å avsløre og fange ukjente framtidige virus. I oktober 2001 varslet selskapet at det ville søke patent for noe det kaller "Sandbox", i form av en virtuell PC inne i selve PC-en, der ressurser som prosessor, disk og filsystem er emulert, og der viruset avslører seg selv gjennom sin oppførsel. Sandkassen skulle være så lukket at ikke noe virus ville være i stand til å ødelegge for PC-ens reelle ressurser. Versjon 1 av Sandbox ble lansert i fjor høst.

    Les også:

I går lanserte Norman versjon 2 av Sandbox. Her er det ikke bare en enkel PC som er emulert, men et helt nettverk med flere klienter og servere, med lokale ressurser, DNS-tjener for "eksterne adresser", e-post, lynmelding, fildeling og så videre. Alt er opprettet slik at viruset – eller ormen eller trojaneren – ikke merker at det er fanget i et virtuelt nett.

Simuleringen av omgivelser med svært varierte tjenester likner på den man får til i såkalte honningfeller for hackere. Men mens honningfeller kjører på reelle maskiner og til en viss grad gis anledning til å kommunisere med omverdenen, er altså Sandbox versjon 2 sin egen lukkede verden med bare emulerte ressurser. Datavirus slipper inn og kan gjøre hva de vil.

Seniorutvikler Kurt Natvig demonstrerer virkningen ved å slippe en kjent orm, Klez, inn i det lukkede miljøet. Etter hvert som ormen kjører, kommer denne meldingen fram på skjermen:

– Du lar viruset avsløre seg selv, og Sandbox er i stand til å foreta svært kjappe og fyldige automatiserte avgjørelser. Her ser du trinnvis hva Klez gjør, hvilke filer den oppretter, at den prøver å spre seg selv gjennom nettverket og så videre.

Bak denne rapporten er en omfattende logg som systemadministrator har tilgang til, og der man kan hente all slags grunnlagsinformasjon.

– Om viruset prøver å replikere seg selv, sende e-post, infisere lokale filer, spre gjennom IRC eller Kazaa, legge igjen bakdører eller oppringere og så videre, så ser vi det. Har du et spesielt vrient eksemplar, kan du gjerne utvide det emulerte miljøet med nye tjenester og se hva som skjer. Prøver det å kontakte en gitt IP-adresse, kan du legge inn en virtuell maskin med denne IP-adressen og noen typiske tjenester.

Norman lover ikke at Sandbox fanger alt, og advarer at Sandbox-skanning kan være ressurskrevende. Men sandkassa gir ekstra sikkerhet fordi den fanger også ukjente tilfeller av ondsinnet kode. Den presenteres som en ekstra tjeneste som kan aktiveres ved å hake av en boks i oppsettet på et antivirusverktøy. Norman anbefaler at den aktiveres spesielt i e-postskannere og ved regelmessig skanning av disker. Bruk av Sandbox i tillegg til vanlig skanning øker tiden det tar å sjekke en disk med om lag 40 prosent, er Normans egen erfaring.

Til toppen