Avast! Sandbox : comprendre son fonctionnement

Un billet sous forme de démo du module Sandbox d’Avast! afin de comprendre son intérêt.

Prenons le malware suivant : 2/43 (4.7%) 2011-09-17 10:16:26 (UTC) sur VirusTotal

Les détections quelques heures après. Avast! ne le détecte pas : http://www.virustotal.com/file-scan/report.html?id=9c3864e95dfb5c3698369ba5369808e68e62dc884fd47ae3d32b4b75e681e9f9-1316254398

File name: fywoumam.exe
Submission date: 2011-09-17 10:13:18 (UTC)
Current status: finished
Result: 4/ 44 (9.1%)

Le rapport HijackThis témoin de la VM non infectée :

Avec Sandbox…

A l’execution du malware, Avast! détecte un risque potentiel et propose de lancer le programme dans la Sandbox.
Chose que je vais faire.


Le dropper s’execute et lance un processus fytteb.exe

Une fois le second processus lancé, je lance HijackThis, on voit qu’aucune modification n’a été faite.
Un redémarrage de l’ordinateur et aucun processus suspect n’est lancé.

Un autre cas ici avec un Exploit sur site WEB qui executer un malware.
Ce dernier est automatiquement executé dans la Sandbox ce qui fait qu’il n’endommage pas le système :

 

Sans Sandbox…

Le même malware sur la même VM, cette fois, je dis à Avast! d’exécuter le fichier normalement.
Même chose le dropper lance à nouveau fytteb.exe – Avast! émet à nouveau une alerte, je décide d’exécuter le fichier normalement.

Un petite tour sur HijackThis, et cette fois-ci, on voit qu’une nouvelle ligne a été ajoutée.
Cette ligne permet de lancer un processus gube.exe au démarrage de l’ordinateur.

Je redémarre et effectivement ce processus se lance à l’ouverture du Bureau.

A noter qu’Avast! émet à nouveau une alerte pour proposer de lancer le processus dans la Sandbox.

A noter qu’en exécution normale du malware, Avast! détecte la création d’un fichier temporaire.

Alors, à quoi ça sert ?

Comme vous avez pu le constater, lorsque l’on exécute le dropper dans la Sandbox, ce dernier ne créé pas de clef qui permet de lancer le malware à chaque démarrage de l’ordinateur.
La Sandbox (bac à sables) est un environnement fermé dans lequel est exécuté le fichier et empếche toute modification du système, dès lors, le malware ne peux pas modifier le système pour se lancer au démarrage de l’ordinateur.
Il en va de même, par exemple, pour les rookits qui ne pourront pas installer le driver.

Cela permet donc de protéger l’ordinateur, des droppers non détecté, SI Avast! détecte un risque potentiel et propose de lancer le fichier dans la SandBox.

Avast! peux aussi émettre des alertes (faux positif) sur des programmes qu’il estime potentiellement dangereux alors qu’il ne le sont pas, Exemple avec OTL ci-dessous.
A l’utilisateur de juger selon la provenance du fichier.

Dans le même style de programme, vous avez Sandboxie, BufferZone Security Pro et DefenseWall.

Avast Version 8

Depuis la version 7 d’Avast!, les fichiers suspect sont automatiquement executés dans la SandBox.
Lorsqu’un fichier est executé dans la Sandbox avant son exécution réelle dans le système, voici la popup que vous obtenez :

Avast_V8_Sandbox
Ci-dessous Avast! n’est pas capable de déterminer si le programme est malicieux ou non, c’est à vous de déterminer selon la provenance s’il peux être un malware.
Si vous souhaitez lancer l’exécution réelle sur le système, cliquez sur Continuer l’exécution
En cas de détection d’un Trojan, Avast! bloque l’exécution de ce dernier.
Avast_V8_Sandbox2
Vous pouvez désactiver l’AutoSandbox ou ajouter des fichiers en exclusion, à partir du menu Paramètres dans l’Agent de fichiers.
Notez que lors de l’execution d’un programme en Sandbox, une popup informative vous en avertie, un bouton Modifier Paramètres permet d’accéder à la configuration de l’AutoSandbox

Avast_Sandbox_parametres

 

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 274 times, 2 visits today)

2 thoughts on “Avast! Sandbox : comprendre son fonctionnement

  1. Salut,

    Personnellement je me satisfais pleinement d’Avast gratuit dont j’apprécie cette sandbox qui « isole » plutôt bien mes fichiers système des nombreux outils logiciels potentiellement dangereux que je télécharge à gauche et à droite.
    De plus Avast offre maintenant une possibilité simple, qui évite d’avoir à bricoler le fichier host soi-même, de bloquer l’affichage de sites web dont on sait qu’ils ne sont pas dignes de confiance, tels que softonic.com , softonic.fr, et 01net.com par exemple ; sites réputés offrir en téléchargement des programmes rapackés avec adwares par leurs soins. Donc même si ces sites arrivent en premier dans les résultats de recherche Google et consorts et que je clique malencontreusement dessus, Avast me rappelle que je les ai bloqués pour de bonnes raisons. Cool !

    Merci pour tout à Malekal

  2. Dans la continuité de jojolabricole, j’en profite aussi pour dire : « sus à 01net.com et softonic.com ! » pour les adwares qu’ils ajoutent incognitos aux logiciels qu’ils proposent en téléchargement « gratuits ».
    Et un grand merci à Malekal pour ses toujours excellents conseils.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *