Hopp til navigasjon Hopp til innhold

Lurer virus med sandkasse

Nå skal ukjente og rykende ferske virus fanges opp før de rekker å spre seg. Det er i hvertfall tanken bak sandkassen til det norske datasikkerhetsselskapet Norman.

Spredningen av kjipe selvreplikerende programsnutter synes bare å bli større for hvert år som går. Virusene finner alltid nye måter å spre seg på, og ikke minst å unngå å bli blokkert av vanlige antivirus-programmer.

Selv om du har et nytt og oppdatert antivirusprogram installert, kan du ikke være hundre prosent sikker mot å bli infisert. Nye virus som enda ikke har blitt oppdaget og identifisert vil kunne slippe gjennom uansett, og det tar gjerne flere timer eller dager fra et virus blir identifisert til en ny oppdateringsfil er tilgjengelig for programvaren din.

Å komme virusene i forkjøpet

En av antivirusprodusentenes store utfordringer er nå derfor å finne måter å identifisere og blokkere nye virus, før de har blitt «oppdaget» og innlemmet i antivirus-definisjonene.

Symantec kunne nylig fortelle om slik funksjonalitet i siste versjon av sin Norton Antivirus, hvor internettormer utstyrt med egen SMTP-motor hindres fra å sende seg selv videre.

Norman tar det hele ett par skritt videre, og vil om få uker innlemme sin nye Sandbox-teknologi i Norman Virus Control.

Sandkassen

Tanken bak sandkasse-teknologien er at nye filer og suspekt kode som antivirusprogrammet er usikker på først skal slippes løs i en fullstendig simulert datamaskin. Dette gjør man for å kunne se om den mistenkte filen faktisk gjør noe uønsket i den simulerte PCen.

Normans programvare lurer den mistenkte filen til å tro at den har blitt kjørt og «sluppet løs» på en helt vanlig PC – med innbilt tilgang til komponenter som filsystem, minne, og nettverk. Deretter begynner man å analysere hvilke forandringer – om noen – som kan spores i den emulerte PCen (sandkassen): Blir noen filer forandret? Sendes det noen e-post? Spres det automatisk programkode rundt omkring? Forandres registerinnstillinger?

Finner antivirusprogrammet at den mistenkte filen har gjort ugang, blokkeres og behandles viruset på vanlig måte.

Virutelle feilmeldinger for virtuelle systemkræsj i virutelle maskiner…

Ikke bombesikkert

Men, naturligvis, igjen har enda ingen lykkes i å lage hundre prosent sikker virusblokkering. Det har heller ikke Norman gjort.

– Vi emulerer bare Windows og MS-DOS, og det er mulig for virus å oppdage at de faktisk bare blir kjørt i sandkassen vår, og dermed kan de også programmeres til å lure den. Men vi tror likevel dette vil gi oss gode muligheter til å fange opp mange nye virus, sier virusanalytiker Snorre Fagerli i Norman.

– Vår sandkasse er best

Dette er ikke første gang vi hører om sandkasse-begrepet, da teknikker med dette navnet har blitt brukt i både antivirusprogrammer og brannmurer fra diverse selskaper. Men Norman hevder at de er det eneste antivirusselskapet som lager en fullstendig virtuell PC for virusdeteksjon, og at andre sandkasse-teknologier på markedet er mangelfulle.

– Forskjellen mellom Normans sandbox-teknologi og andre på markedet, er at vår simulering er mye dypere. Vi simulerer alt, inkludert hardware, BIOS, og til og med prosessoren, forklarer Fagerland.

Systemkrav

Å bygge opp sandkassen som det mulige viruset skal få lov til å kjøre i er en relativt tidkrevende prosess, og selve testkjøringen av suspekte filer kan gjerne ta noen sekunder – Norman lover derfor at sandkasseprosessen kun vil bli iverksatt når det synes absolutt nødvendig for å sikkerhetsklarere nye filer, vedlegg og e-post.

Det er heller ikke meningen at selve antivirusprogrammet gjøres særlig større . Kildekoden til sandkassen tar ikke mer plass en ca. 125 kilbyte.

For mer informasjon om Normans sandkasse, se www.norman.no.