SANDBOX UND SYSTEMVIRTUALISIERUNG



Ähnliche Dokumente
SANDBOXIE konfigurieren

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Virtual Channel installieren

- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen

Arbeiten mit dem neuen WU Fileshare unter Windows 7

Computeria Solothurn

Outlook 2000 Thema - Archivierung

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Arbeiten mit MozBackup

WORKSHOP VEEAM ENDPOINT BACKUP FREE

Outlook-Daten komplett sichern

Datensicherung. Beschreibung der Datensicherung

Anleitung zum Einspielen der Demodaten

OUTLOOK-DATEN SICHERN

2. Word-Dokumente verwalten

Sichern der persönlichen Daten auf einem Windows Computer

Über die Internetseite Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Schulpaket 2015 / 2016 Installation

Mit jedem Client, der das Exchange Protokoll beherrscht (z.b. Mozilla Thunderbird mit Plug- In ExQulla, Apple Mail, Evolution,...)

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

Leitfaden zur Installation von Bitbyters.WinShutdown

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

I. Travel Master CRM Installieren

Win 7 optimieren. Unser Thema heute: Meine erstellten Daten in eine andere Partition verschieben.

! " # $ " % & Nicki Wruck worldwidewruck

Installationsanweisung zur Aktivierung für RadarOpus auf PC s ohne Internetzugang (MAC)

Installation OMNIKEY 3121 USB

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

Installationsanleitung

Dokumentation zur Versendung der Statistik Daten

Sicherheit für Windows Vista Teil 2: Windows Tool zum Entfernen bösartiger Software

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

[ FOXMAIL EINE ALTERNATIVE ZU OUTLOOK]

Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

Live Update (Auto Update)

2 DAS BETRIEBSSYSTEM. 2.1 Wozu dient das Betriebssystem. 2.2 Die Bildschirmoberfläche (Desktop) Themen in diesem Kapitel: Das Betriebssystem

INFOBLATT FÜR DAS NEU AUFSETZEN IHRES COMPUTERS

Installationshinweise BEFU 2014

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Anleitung zum Umgang:

Hinweise zur Datensicherung für die - Prüfmittelverwaltung - Inhalt

iphone-kontakte zu Exchange übertragen

SFKV MAP Offline-Erfassungstool. Installationsanleitung

Anleitung zur Redisys Installation. Inhaltsverzeichnis

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Einen Wiederherstellungspunktes erstellen & Rechner mit Hilfe eines Wiederherstellungspunktes zu einem früheren Zeitpunkt wieder herstellen

1. Melden Sie sich als Administrator an und wechseln Sie zum Desktop

, dadurch wird der andere Modus eingestellt, also es sieht dann so aus

System-Update Addendum

Sicherer Datenaustausch mit EurOwiG AG

Sie können diesen Service verwenden, um fast beliebig große Dateien auch über 2 GB zu versenden.

Arbeiten mit dem Outlook Add-In

Einrichten eines E- Mail-Kontos unter Windows Live Mail mit der IMAP-Funktion

Tipps und Tricks zu Netop Vision und Vision Pro

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Übung - Datensicherung und Wiederherstellung in Windows 7

Verwendung des IDS Backup Systems unter Windows 2000

Daten synchronisieren mit FreeFileSync (zur Datensicherung) Freeware unter herunter laden

Benutzung der Avid Liquid Edition Schnittplätze an der Universität Innsbruck

Durchführung der Datenübernahme nach Reisekosten 2011

Hallo, Anmeldung auf der Office-Webplattform: Seite 1 von 7 Office 365 Pro Plus

Modul Windows XP Professional

1 Was ist das Mediencenter?

[Tutorial] Windows 7 Clean-Install

Win 7 sinnvoll einrichten

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

BitDisk 7 Version 7.02

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Installationsanweisung Aktivierung für RadarOpus für PC s ohne Internetzugang (WINDOWS)

Anschluß an Raiffeisen OnLine Installationsanleitung für Internet Explorer

Herzlich willkommen bei der Installation des IPfonie -Softclients!

Information zur Durchführung von. Software-Updates

SICHERN DER FAVORITEN

STRG + A = STRG + C = STRG + X = STRG + V = STRG + Alt + Entf = STRG + S =

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Installationsanleitung Barcode-Scanner des MEDI Baden- Württemberg e.v.

Wichtig: Um das Software Update für Ihr Messgerät herunterzuladen und zu installieren, müssen Sie sich in einem der folgenden Länder befinden:

Bedienungsanleitung für den SecureCourier

Installationsanleitung WSCAD Elektrohandwerk

Hilfe bei Adobe Reader. Internet Explorer 8 und 9

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Whitepaper. Produkt: combit address manager / combit Relationship Manager. Datenabgleich zwischen Notebook und Desktop-PC / Server

Installieren von Microsoft Office Version 2.1

3 ORDNER UND DATEIEN. 3.1 Ordner

2. Zusätzliche tägliche Sicherung im Ordner Upload

Getestete Programme. Testmethode

Anleitung für Zugriff auf den LEM-FTP-Server

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

H A N D B U C H FILEZILLA. World4You Internet Service GmbH. Hafenstrasse 47-51, A-4020 Linz office@world4you.com

Updatehinweise für die Version forma 5.5.5

Arbeitsblätter auf die Schülercomputer verteilen, öffnen und wieder einsammeln

Datensicherung EBV für Mehrplatz Installationen

Installieren Sie den Janaserver auf dem Schulserver oder dem Lehrerrechner.

II. Daten sichern und wiederherstellen 1. Daten sichern

Psyprax auf einen neuen Rechner übertragen (Rechnerwechsel)

Transkript:

SANDBOX UND SYSTEMVIRTUALISIERUNG MIT WINDOWS 7 64-BIT UND 10 SCHADPROGRAMMEN GETESTET 1. ALLGEMEINES Der Schutz des echten Systems wurde mit einem Sandbox-Programm und zwei Programmen zur Systemvirtualisierung unter Windows 7 64-Bit mit zehn Schadprogrammen getestet. 1.1 GETESTETE PROGRAMME Returnil Virtual System 2010 3.1.7779.5174 Sandboxie 3.44 Shadow Defender 1.1.0.320 1.2 TESTUMGEBUNG Hardware: PC mit 2,2 GHz 64-Bit Prozessor, 2 GB Arbeitsspeicher, interner SATA Festplatte mit 7200 U/min und externer esata Festplatte mit 7200 U/min. Betriebssystem: Windows 7 Professional 64-Bit, Administratorkonto, Benutzerkontensteuerung deaktiviert, Windows Defender deaktiviert, Systemwiederherstellung deaktiviert. Verwendete Software: a-squared Free, FirstDefense-ISR, Kaspersky Virus Removal Tool, ShadowProtect Desktop, SUPERAntiSpyware Free, ThreatFire. Für die Tests wurden mit First- Defense-ISR zuerst drei identische Snapshots erstellt und in jeden Snapshot ein zu testendes Programm installiert. Für einen Vorher-Nachher Vergleich wurde abermals eine Kopie eines jeden Snapshots erstellt. Damit konnte nach den Tests, also nach der Ausführung aller Schadprogramme, verglichen werden, welche Dateien gelöscht, neu hinzugefügt oder verändert worden waren. Die gesamte Festplatte mit den sechs Snapshots wurde anschließend auf einer externen Festplatte mit ShadowProtect gesichert. Diese Festplatte wurde nach der Sicherung wieder abgeschlossen. Die Sicherung war primär zur Wiederherstellung des Systems gedacht, falls ein Schadprogramm die Test- Festplatte unbrauchbar gemacht hätte. Ein Rückspielen der Sicherung war aber später im gesamten Verlauf der Tests nie notwendig. Seite 1

2. SCHADPROGRAMME Die Benennung der Schadprogramme entspricht der Namensgebung von Kaspersky. Mit dem für jedes Schadprogramm angegebenen MD5 Hash ist die exakte Datei des Tests definiert und es können z.b. bei VirusTotal oder ThreatExpert Informationen zum Schadprogramm gefunden werden. Die Aktionen der Schadprogramme unter Windows 7 64-Bit werden beschrieben und zusätzlich mit Meldungsfenstern von ThreatFire dargestellt. 2.1 AdWare.Win32.Boran.g MD5: 01457bd9b57d3b11e79392fee3172b9c Adware, die ein Browserhilfsobjekt und einen zusätzlichen Eintrag (MM- SAssist) unter Extras beim Internet Explorer (x86) installiert. Es wird im Browser auch eine Schaltfläche bei Werbungen angezeigt und bei einem Klick darauf eine Verbindung zu bestimmten Seiten hergestellt. Daneben versendet das Programm noch Informationen über das System ins Internet, wie man rechts sehen kann. 2.2 Packed.Win32.Krap.ai MD5: cb1075a4d5f9409e35b0bca8d2f21c28 Es installiert das betrügerische Anti-Virus Programm Security Tool, das pausenlos irgendwelche Warnfenster anzeigt und in jedem Programm, das man startet, einen vorgeblichen Virus oder dergleichen findet. Letztlich soll man durch das extrem nervige Programm angehalten werden die Vollversion zu kaufen, um damit die scheinbar unendliche Anzahl an fiktiven Bedrohungen loszuwerden. Seite 2

2.3 Packed.Win32.Krap.an MD5: 406a673deb8cac3a48a7d19775d69953 Zeigt eine vorgebliche Spyware Infektion an und installiert einen Downloader für weitere Schadprogramme. Zum Zeitpunkt des Tests wäre es die gefälschte Security Suite Security essentials 2010 gewesen. Außerdem deaktiviert es den Task-Manager und verändert auch andere Einstellungen des Internet Explorers und von Windows. 2.4 Trojan.Win32.Delf.tfc MD5: 8ec2796869bc29079ea0318a14500152 Der Trojaner installiert mehrere schädliche Komponenten, darunter ein Service (Backdoor.Win32.Delf. smy), zwei Prozesse (Backdoor. Win32.Delf.sla und Trojan.Win32. Delf.tfb) und zwei DLLs. Eine DLL wird als RiskTool.Win32. Hooker.f erkannt und die zweite DLL als Trojan. Win32.Delf.tfc, diese werden in den Prozess des Internet Explorers (x86) geladen. Letztlich soll Angreifern der Zugriff auf den infizierten Computer ermöglicht werden. Seite 3

2.5 Trojan.Win32.Killdisk.b MD5: 36efcf8abfc31280cc7a8038f1e1967e Der Trojaner greift direkt auf den Datenträger zu und überschreibt Bereiche der Master Boot Record. Der Computer wird unmittelbar nach der Ausführung des Trojaners neu gestartet. Beim folgenden Neustart bleibt der Computer nach den BIOS Meldungen mit dem Hinweis stehen, dass das Betriebssystems nicht geladen werden konnte. Solche Schadprogramme sind eher selten, der Schutz durch Sandbox und Systemvirtualisierung gegen derartige Bedrohungen ist aber auch mit Windows 64-Bit essentiell. 2.6 Trojan.Win32.Killmbr.f MD5: cf583f75125d50dd0cab5a7f09fa5a2c Der Trojaner greift direkt auf den Datenträger zu und überschreibt die Master Boot Record der Festplatte. Beim nächsten Start des Computers erscheint nach den BIOS Meldungen der Hinweis, dass kein Betriebssystem zum Starten gefunden werden konnte. Seite 4

2.7 Trojan.Win32.VB.abgz MD5: f655f4d9d2b7b492d4269b64c71e5152 Wie man im Bild links lesen kann, kopiert sich der Trojaner selbst unter dem Namen ld16.exe in das Windows Verzeichnis und versucht eine Verbindung zum Internet herzustellen um weitere Schadprogramme nachzuladen. Der Trojaner ist eine Variante des Koobface-Wurms, der unter anderem versucht Profildaten von Facebook, MySpace und Twitter an Remoteadressen zu versenden. 2.8 Trojan-Dropper.Win32.Flystud.yi MD5: 55a47b7e89ddb060b65ec89c9bbf11f4 Der Trojan-Dropper erstellt mehrere Dateien im temporären Verzeichnis und kopiert sich selbst in einen erstellten Unterordner von C:\Windows\SysWOW64\. Unter Windows 7 64-Bit verursacht das Schadprogramm daneben noch eine Fehlfunktion. Es öffnen sich pausenlos immer neue Explorer Fenster und das System reagiert dadurch sehr verzögert bis gar nicht mehr. Seite 5

2.9 Trojan-PSW.Win32.Agent.pfz MD5: ca0c1177d7a7acbae9b21521fa3610ba Der Trojaner erstellt im temporären Verzeichnis eine Anwendung (Mail PassView von Nir Sofer), um Kontoinformationen und Passwörter von Outlook, Thunderbird, Hotmail, Gmail usw. auszulesen. Er kopiert sich als qtplugin. exe ins System32 von Windows und erstellt einen Autostart für diese Datei. Daneben versucht der Trojaner noch Daten über HTTP und SMTP zu versenden. 2.10 Worm.Win32.AutoIt.r MD5: e5487a9b095071f74914d605340d61a0 Der Wurm erstellt vier ausführbare Dateien im SysWOW64 von Windows und für drei davon Autostarteinträge in der Registrierung. Daneben ändert oder löscht er auch eine Vielzahl an Einstellungen von Windows. Nach der Ausführung des Wurms werden fast alle vom Benutzer geöffneten Prozesse automatisch sofort wieder geschlossen. Er verbreitet sich, indem er eine Word.exe und eine autorun.inf auf andere Datenträger kopiert. Seite 6

3. INFIZIERTES SYSTEM Vor dem eigentlichen Test der Programme wurde für den späteren Vergleich ein voll infiziertes System mit dem Kaspersky Virus Removal Tool, a-squared Free und SUPERAntiSpyware Free hintereinander gescannt. Ausgeführt wurden alle Schadprogramme mit Ausnahme des Trojan.Win32.Killdisk.b und des Trojan.Win32.Killmbr.f. Diese hätten ohnehin keine Spuren hinterlassen bzw. es wäre danach kein Scan mehr möglich gewesen. Nach der Ausführung aller Schadprogramme wurden auch alle Dropper gelöscht, also die Ursprungsdateien für die Infektionen, da für diesen Test die bloße Erkennung der Dropper ohnehin bedeutungslos war. Außerdem wurden auch die Prozesse der Schadprogramme vor dem Scans beendet. Im unteren Bild sieht man das Scanergebnis des Kaspersky Virus Removal Tool. Die erkannten Objekte wurden vor dem folgenden Scan mit a-squared Free gelöscht. a-squared Free (links) fand danach noch zahlreiche Spuren und Dateien der Infektionen, diese wurden vor dem nächsten Scan nicht gelöscht. Mit SUPERAntiSpyware Free (unten) wurde dann nur die Registrierung geprüft, um für die späteren Scans der Snapshots einen Überblick zu haben. Seite 7

4. 4.1 TESTABLAUF Alle Programme wurden mit den Standardeinstellungen getestet. Einzig bei Returnil Virtual System wurde der Echtzeit-Virenschutz deaktiviert, da nicht die Erkennung durch das integrierte Anti-Virus Thema des Tests war, sondern der Schutz durch die Systemvirtualisierung. Alle Schadprogramme wurden Offline ausgeführt, also ohne Verbindung zum Internet. Der primäre Grund für den Offline-Test war, dass sonst eine Vergleichbarkeit nicht herzustellen gewesen wäre, wenn z.b. Schadprogramme unterschiedliche Komponenten nachgeladen hätten. Die Ausführung der Schadprogramme erfolgte jeweils nach folgendem Ablauf: Bei Returnil Virtual System wurde System Safe aktiviert, ein Schadprogramm ausgeführt und danach das System neu gestartet. Bei Sandboxie wurde ein Schadprogramm über das Explorer Kontextmenü in der Sandbox ausgeführt, danach wurden über das Sandboxie Menü alle Programme beendet und der Inhalt der Sandbox gelöscht. Bei Shadow Defender wurde der Shadow Mode aktiviert, ein Schadprogramm ausgeführt und danach das System neu gestartet. Mit dem Neustart des Systems bzw. dem Leeren der Sandbox nach dem Ausführen der einzelnen Schadprogramme sollte primär sichergestellt werden, dass es zu keinen gegenseitigen Beeinträchtigungen zwischen den Schadprogrammen kam. 4.2 BEWERTUNG Test bestanden das getestete Programm hat Veränderungen des echten Systems durch die Schadprogramme verhindern können. Test nicht bestanden das getestete Programm hat Veränderungen des echten Systems durch die Schadprogramme nicht verhindern können. Mit Veränderung des echten Systems sind Veränderungen des Dateisystems oder der Registrierung gemeint, die ein Schadprogramm trotz des Schutzes durch die getesteten Programme verursachen konnte. Bei Returnil Virtual System und Shadow Defender wären dies Veränderungen durch Schadprogramme gewesen, die nach einem Neustart noch im echten System vorhanden gewesen wären. Bei Sandboxie wären dies Veränderungen durch Schadprogramme gewesen, die nach dem Beenden aller Programme in der Sandbox und dem Löschen der Sandbox noch im echten System vorhanden gewesen wären. 4.3 TESTAUSWERTUNG Nach der Ausführung aller Schadprogramme wurden die drei Snapshots mit Returnil Virtual System, Sandboxie und Shadow Defender erneut mit den drei Scannern (siehe 3. Infiziertes System) geprüft. 1. Zuerst wurden mit dem Kaspersky Virus Removal Tool geprüft. 2. Diese Prüfung wurde mit a-squared Free wiederholt. 3. Abschließend wurden die Registrierung mit SUPERAntiSpyware Free geprüft. Keiner dieser Scans brachte irgendein Ergebnis, das auf eine Infektion hingewiesen hätte. Seite 8

Auch das Angleichen der Snapshots und die Auswertung der Logs von FirstDefense-ISR ergab keinen Hinweis, dass einem Schadprogramm das Überspringen in das echte System gelungen war. 4.4 TESTERGEBNIS 4.5 ANMERKUNGEN Bei den Tests mit Returnil Virtual System und Shadow Defender verhielt sich das System bei der Ausführung der Schadprogramme vordergründig genau gleich, wie wenn man nur das Betriebssystem ohne diese Schutzprogramme getestet hätte. Die einzelnen Schadprogramme konnten also beispielsweise folgende Aktionen ausführen: - Packed.Win32.Krap.an konnte den Task-Manager deaktivieren. - Trojan.Win32.Killdisk.b konnte einen Neustart des Systems auslösen. - Trojan-Dropper.Win32.Flystud.yi öffnete immer neue Explorer Fenster. - Worm.Win32.AutoIt.r beendete fast alle Prozesse, die vom Benutzer gestartet wurden. Nach einem Neustart des Systems waren aber alle Veränderungen durch die Schadprogramme verschwunden und das System wieder in dem Zustand, wie es vor der Ausführung der Schadprogramme war. Also genau so, wie man es von Systemvirtualisierung auch erwartet. Bei den Tests mit Sandboxie verhielt sich das System bei der Ausführung der Schadprogramme anders, als wenn man die Schadprogramme nur mit dem Betriebssystem getestet hätte. Das liegt unter anderem daran, dass bei der 64-Bit Version von Sandboxie die Rechte von Anwendungen in der Sandbox standardmäßig eingeschränkt sind. Seite 9

Die einzelnen Schadprogramme konnten also beispielsweise folgende Aktionen nicht ausführen: - Packed.Win32.Krap.an konnte den Task-Manager nicht deaktivieren. - Trojan.Win32.Killdisk.b konnte keinen Neustart des Systems auslösen. - Trojan-Dropper.Win32.Flystud.yi konnte nicht immer neue Explorer Fenster öffnen. - Worm.Win32.AutoIt.r konnte keine Prozesse außerhalb der Sandbox beenden. Sandboxie bietet also auch mit den Standardeinstellungen schon einen zusätzlichen Schutz, der über das bloße Schützen der Dateien und Registrierung des echten Systems hinausgeht, da es auch die Prozesse, die in der Sandbox aktiv sind, bis zu einem gewissen Grad vom echten System isoliert. In den Grundeinstellungen schützten alle drei getesteten Programme bei diesem Test das echte System des Benutzers, primär also die Dateien und die Registrierung, auch bei einem 64-Bit Betriebssystem. Die Schutzkomponenten, welche die drei getesteten Programme zusätzlich zu der Sandbox oder Systemvirtualisierung bieten, sind relativ verschieden. Returnil Virtual System bietet neben dem integrierten Anti-Virus auch noch die Möglichkeit an, die Ausführung aller Anwendungen zu verbieten, die nicht im echten System vorhanden sind. Man kann damit also die Ausführung von allen neuen Anwendungen verhindern. Man kann auch wählbare Dateien und Ordner außerhalb der Systempartition gegen Veränderungen schützen, da mit Returnil derzeit nur die Systempartition virtualisiert werden kann, aber nicht andere Partitionen. Sandboxie bietet von den getesteten Programmen mit Abstand die meisten Möglichkeiten an, sich über benutzerdefinierte Einstellungen gegen eine Vielzahl von Bedrohungen zu schützen. Man kann beispielsweise Anwendungen festlegen, die in der Sandbox starten oder auf das Internet zugreifen dürfen. Auch der Zugriff auf Dateien oder die Registrierung des echten Systems kann beschränkt werden. Damit kann es Anwendungen in der Sandbox z.b. verboten werden Kontoinformationen oder Passwörter auszulesen. Shadow Defender hingegen beschränkt sich auf die Kernaufgaben der Systemvirtualisierung, bietet aber hier den größten Funktionsumfang, da man alle Partitionen virtualisieren kann. Da keine zusätzlichen Schutzkomponenten vorhanden sind, ändert sich durch die Präsenz von Shadow Defender beispielsweise in Bezug auf das Auslesen und Versenden von Kontoinformationen und Passwörtern nichts. Außer natürlich, dass das betreffende Schadprogramm beim Neustart des virtualisierten Systems aller Wahrscheinlichkeit nach gelöscht wird. subset Seite 10

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback