Virustotal jetzt mit Verhaltensanalyse

[Comu]

Online-Scanner VirusTotal jetzt mit Verhaltensanalyse

BILD ANZEIGEN [Warum wird das Bild nicht angezeigt?]

Der Meta-Virenscanner VirusTotal erprobt derzeit eine Sandbox-Funktion, um Anwendern aussagekräftigere Ergebnisse zu präsentieren. Hierfür werden hochgeladene ausführbare Dateien in einer abgeschotteten Umgebung gestartet, um ihr Verhalten zu beobachten.

Eine Analyse des Verhaltens der hochgeladenen Datei erscheint unter den Scan-Ergebnissen in einem neuen Karteireiter mit dem Titel "Behavioural information". VirusTotal protokolliert Datei- und Registry-Zugriffe sowie neue Prozesse und Code-Einschleusungen. Darüber hinaus meldet VirusTotal, wenn Dateien direkte Befehle an Gerätetreiber gesendet haben.

Auf VirusTotal lassen sich verdächtige Dateien hochladen. Vierzig Scan-Engines unterschiedlicher Hersteller analysieren die Software daraufhin parallel auf verdächtige Bitmuster. Oft schlägt aber nur die Heuristik an – erkennbar an Ergebnissen, in denen die Bezeichnung Stichworte wie "Heur", "Suspicious oder "Generic" vorkommen. So geraten geraten mitunter auch unschuldige Programme unter Virenverdacht, ohne dass der Anwender eine Möglichkeit hätte, die tatsächliche Gefahr abzuschätzen.

Ein Restrisiko bleibt auch bei der Sandbox-Analyse: Einiger Trojaner überprüfen beim Start unauffällig, ob sie virtualisiert ausgeführt werden und verhalten sich dann ganz unschuldig. Erst auf einem realen Windows entfalten sie ihre Schadfunktion.

Derzeit erfolgt die Verhaltensanalyse zeitversetzt zur Virenanalyse durch die Scan-Engines. Berücksichtigt werden nur ausführbare Dateien kleiner als 8 MByte, die VirusTotal bisher unbekannt waren. Es lohnt sich also, die Seite mit den Ergebnissen offen zu lassen und sie immer mal wieder neu zu laden, um zu sehen, ob ein zusätzlicher Karteireiter hinzugekommen ist.

In einem Blog-Eintrag erklärt Emiliano Martinez von VirusTotal, die Verhaltensanalyse befinde sich noch in einem frühen Stadium und man gebe keine Garantie, dass hochgeladene Dateien den zusätzlichen Analysedurchgang durchlaufen. Zum Einsatz komme die quelloffene Cuckoo Sandbox von Claudio Guarnieri.

VirusTotal ist übrigens bei Weitem nicht die einzige Online-Sandbox: Anubis, MWAnalysis CWSandbox und ThreatExpert bieten schon seit längerem ähnliche Dienste.

Quelle: Online-Scanner VirusTotal jetzt mit Verhaltensanalyse | heise online

[Snees]

Klingt sehr interessant, kann aber leider auch schnell umgangen werden,
ich werde den Dienst gleich mal testen

[verpeilt2007]

niemals vt nutzen um eure exe zu scannen den vt speichert und eure stubs sind schnell ud und dann voll detectet

[Gangstersheep]

niemals vt nutzen um eure exe zu scannen den vt speichert und eure stubs sind schnell ud und dann voll detectet

Wir wollen doch keine Viren spreaden oder dergleichen?
Also ist es uns völlig egal was VT damit macht, wir wollen nur wissen ob eine Datei mit einem Virus infiziert ist oder nicht.

BTW:
Netter Service, werde ihn auch gleich mal ausprobieren.

[patlux]

kann aber leider auch schnell umgangen werden,

Und wie, wenn ich fragen darf?

/edit: Ich dummer Spamer xD
Klatscht mich an die Wand!

[Comu]

Wurde im Artikel erwähnt:

Ein Restrisiko bleibt auch bei der Sandbox-Analyse: Einiger Trojaner überprüfen beim Start unauffällig, ob sie virtualisiert ausgeführt werden und verhalten sich dann ganz unschuldig. Erst auf einem realen Windows entfalten sie ihre Schadfunktion.

[Snees]

Wurde im Artikel erwähnt:

& wenn die Datei größer als 8MB ist, was ja nicht schwer ist