Norman Data Defense Systems, Spezialist für Anti-Viren-, Anti-Spam- und Anti-Spyware-Lösungen, hat die Malware-Analyse-Lösung Norman Sandbox Analyzer um Analysefunktionen für die Packer Themida und Slovak Protector (SVKP) erweitert. Dadurch können Unternehmen mit sehr hohem Sicherheitsbedarf auch Malware aufspüren, die in Form einer komprimierten Datei von Virenschutzlösungen bislang nicht oder kaum erfasst werden kann. Mit den Ergänzungen reagiert Norman auf den Trend bei Virenautoren, Malware als gepackte Datei zu verbreiten. Die neuen Funktionen sind in den Analyse-Produkten Norman SandBox Analyzer und Norman SandBox Analyzer Pro integriert. In den auf den Produkten basierenden Diensten Norman SandBox Online Analyzer und Norman SandBox Reporter sind die Verbesserungen ebenfalls wirksam. Testversionen der Lösungen können per
E-Mail an sandbox@norman.com oder unter http://www.norman.com/... über ein Formular angefordert werden.
Echtzeitpacker wie Themida oder Slovak Protector (SVKP) verringern die Größe einer Datei vor der Übermittlung, beeinträchtigen ihre Ausführbarkeit jedoch nicht. Virenschreiber nutzen daher zunehmend Packer, um Malware am Virenscanner „vorbeizuschmuggeln“. Dabei wird das Schutzsystem beispielsweise mit dem Entpacken einer nahezu unendlich oft gepackten Datei ausgelastet oder überlastet. Obwohl der Scanner den Virus über Erkennungsregeln oder Signaturen eigentlich erkennen müsste, kann die Datei ihre Schadroutinen ungehindert ausführen.
SandBox Analyzer und Analyzer Pro
Die Produkte der Norman SandBox Analyzer-Familie ermöglichen die detaillierte Analyse der Aktivitätenmuster unbekannter Dateien und Programme. Die Dateien werden klassifiziert (W32/Backdoor; W32/Worm; W32/Downloader etc.) und auf eine Virensignatur überprüft. Weitere Analysen halten fest, ob Änderungen am Dateisystem bzw. an Registry und Systemeinstellungen versucht sowie Angriffe auf Netzwerkdienste und andere Downloads unternommen wurden. Für die Deep-File-Analyse kann zusätzlich Norman SandBox Analyzer Pro eingesetzt werden. Über die klassischen Debugging-Funktionen des Analyzers hinaus ermöglicht der Analyzer Pro das Monitoring und die Manipulation der emulierten SandBox-Umgebung in Echtzeit.
Optimaler Malware-Schutz
Grundlage für die Entwicklung von Lösungen und Maßnahmen zur Abwehr von Malware sind Code-Analysen. Je detaillierter die Analyse ausfällt, desto passgenauer können Schutzmaßnahmen zugeschnitten werden; je schneller der Analyse-Prozess erfolgt, desto eher stehen Abwehrmaßnahmen bereit, die eine weitere Ausbreitung der Schadsoftware verhindern. Neben Herstellern von Sicherheitslösungen wie Antivirenherstellern setzen auch Unternehmen mit sehr hohem Sicherheitsbedarf Code-Analyse-Tools wie Normans SandBox Analyzer-Produkte ein. Damit können sich die Unternehmen selbst ein Bild vom Aufbau von Code verschaffen und die Informationen nach Maßgabe der unternehmensspezifischen Sicherheits-Policies in Schutzmaßnahmen umsetzen. Das gilt auch für Abwehrmaßnahmen gegen in komprimierten Dateien versteckte Malware. Die Arbeit mit den Analyse-Tools ermöglicht daher den höchsten technisch machbaren Malware-Schutz.
E-Mail an sandbox@norman.com oder unter http://www.norman.com/... über ein Formular angefordert werden.
Echtzeitpacker wie Themida oder Slovak Protector (SVKP) verringern die Größe einer Datei vor der Übermittlung, beeinträchtigen ihre Ausführbarkeit jedoch nicht. Virenschreiber nutzen daher zunehmend Packer, um Malware am Virenscanner „vorbeizuschmuggeln“. Dabei wird das Schutzsystem beispielsweise mit dem Entpacken einer nahezu unendlich oft gepackten Datei ausgelastet oder überlastet. Obwohl der Scanner den Virus über Erkennungsregeln oder Signaturen eigentlich erkennen müsste, kann die Datei ihre Schadroutinen ungehindert ausführen.
SandBox Analyzer und Analyzer Pro
Die Produkte der Norman SandBox Analyzer-Familie ermöglichen die detaillierte Analyse der Aktivitätenmuster unbekannter Dateien und Programme. Die Dateien werden klassifiziert (W32/Backdoor; W32/Worm; W32/Downloader etc.) und auf eine Virensignatur überprüft. Weitere Analysen halten fest, ob Änderungen am Dateisystem bzw. an Registry und Systemeinstellungen versucht sowie Angriffe auf Netzwerkdienste und andere Downloads unternommen wurden. Für die Deep-File-Analyse kann zusätzlich Norman SandBox Analyzer Pro eingesetzt werden. Über die klassischen Debugging-Funktionen des Analyzers hinaus ermöglicht der Analyzer Pro das Monitoring und die Manipulation der emulierten SandBox-Umgebung in Echtzeit.
Optimaler Malware-Schutz
Grundlage für die Entwicklung von Lösungen und Maßnahmen zur Abwehr von Malware sind Code-Analysen. Je detaillierter die Analyse ausfällt, desto passgenauer können Schutzmaßnahmen zugeschnitten werden; je schneller der Analyse-Prozess erfolgt, desto eher stehen Abwehrmaßnahmen bereit, die eine weitere Ausbreitung der Schadsoftware verhindern. Neben Herstellern von Sicherheitslösungen wie Antivirenherstellern setzen auch Unternehmen mit sehr hohem Sicherheitsbedarf Code-Analyse-Tools wie Normans SandBox Analyzer-Produkte ein. Damit können sich die Unternehmen selbst ein Bild vom Aufbau von Code verschaffen und die Informationen nach Maßgabe der unternehmensspezifischen Sicherheits-Policies in Schutzmaßnahmen umsetzen. Das gilt auch für Abwehrmaßnahmen gegen in komprimierten Dateien versteckte Malware. Die Arbeit mit den Analyse-Tools ermöglicht daher den höchsten technisch machbaren Malware-Schutz.
