Online-Schädlingsanalyse II: CWSandbox

by Andreas ~ December 4th, 2008. Filed under: Viren und Trojaner, Windows.

Vor ein paar Tagen habe ich bereits Virustotal vorgestellt. Der Online-Dienst prüft verdächtige Dateien mit derzeit 37 Malware-Scannern. Eine weitergehende Analyse eines Schädlings ermöglicht dagegen die Online-Variante der CWSandbox von Sunbelt Software.

Bei der CWSandbox handelt es sich um eine automatisierte Malware-Analyse, die in einer kontrollierten Umgebung durchgeführt wird. Anders als bei Virustotal wird die Datei nicht mit Signaturen verglichen, sondern gestartet und beobachtet. Die CWSandbox protokolliert dabei jede neu angelegte Datei, jeden neuen Registry-Schlüssel sowie alle Löschvorgänge und Kontaktversuche mit dem Internet.

So zeigt die Analyse des im Virustotal-Beitrag bereits erwähnten Wurms Socks unter anderem, dass sich der Schädling mit dem Befehl

netsh firewall add allowedprogram c:\Rechnung________________ ___________________________NRDKJH8833423444229.exe sys enable

selbst in der Windows-Firewall freischaltet. Außerdem lauscht er auf Port 29573 auf Befehle von der (mittlerweile abgeschalteten) Adresse koromanskipart1.ru. Dort hat sich vermutlich der Bot-Master befunden, von dem aus die mit Socks verseuchten PCs gesteuert wurden. Die vollständige Socks-Analyse findet sich hier.

Wer selbst einen Schädling mit der CWSandbox analysieren will, kann dazu dieses Online-Formular verwenden. Anders als bei Virustotal muss man jedoch eine E-Mail-Adresse angeben, an die nach kurzer Zeit ein Link zum Report gemailt wird. Kleiner Tipp: Den eigentlichen Bericht öffnet man mit einem Klick auf die sechsstellige Nummer bei “Analyses of this sample”.

2 Responses to Online-Schädlingsanalyse II: CWSandbox

  1. Smoking Gun - Security-Weblog » Blog Archive » Online-Schädlingsanalyse III: ThreatExpert

    [...] ähnlichen Ansatz wie die CWSandbox, bei der ein potenzieller Schädling gestartet und beobachtet wird, verfolgt ThreatExpert. Die [...]

  2. Smoking Gun - Security-Weblog » Blog Archive » Dubiose PDF-Dokumente untersuchen

    [...] zum Beitrag über die CWSandbox: Der kostenlose Online-Dienst protokolliert nun auch, was passiert, wenn man ein möglicherweise [...]

Leave a Reply