Online-Schädlingsanalyse III: ThreatExpert

Einen ähnlichen Ansatz wie die CWSandbox, bei der ein potenzieller Schädling gestartet und beobachtet wird, verfolgt ThreatExpert. Die Webseite von ThreatExpert bietet jedoch einiges mehr. So gibt es wie bei Virustotal ein Upload-Tool für verdächtige Dateien, verschiedene Tools zur Suche nach Viren im Arbeitsspeicher und auf der Festplatte, ein Blog sowie Grafiken und Auswertungen der gefundenen Bedrohungen.

Ein Upload-Formular für Dateien, die allerdings maximal 5 MByte groß sein dürfen, gibt es natürlich auch. Wie bei der CWSandbox erhält der Uploader nach ein paar Minuten eine E-Mail. In diesem Fall enthält sie sowohl einen Link zur Online-Version der Analyse als auch eine Passwort-geschützte Datei mit dem Report.

Eine ThreatExpert-Analyse des bereits mehrmals verwendeten Wurms Socks findet sich hier.

Während sich die CWSandbox mehr auf das reine Verhalten stützt und keinen Signatur-Vergleich durchführt, prüft ThreatExpert die hochgeladene Datei auch auf bekannte Schädlinge. Ergänzt wird die Analyse durch knappe Informationen über Dateien und Registry-Schlüssel, die der Schädling anlegt und modifiziert. Außerdem versucht das Unternehmen das Ursprungsland der untersuchten Datei zu ermitteln.

Gemessen an den rohen Informationen darüber, was ein Schädling Schritt für Schritt unternimmt, ist die CWSandbox der Analyse durch ThreatExpert überlegen. Einsetzen kann oder sollte man die beiden Dienste aber natürlich beide.

Bisher erschienene Teile der Serie über Dienste zur Online-Schädlingsanalyse:

Online-Schädlingsanalyse I: Virustotal
Online-Schädlingsanalyse II: CWSandbox

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.