Avast! Sandbox : comprendre son fonctionnement

Un billet sous forme de démo du module Sandbox d’Avast! afin de comprendre son intérêt.

Prenons le malware suivant : 2/43 (4.7%) 2011-09-17 10:16:26 (UTC) sur VirusTotal

Les détections quelques heures après. Avast! ne le détecte pas : http://www.virustotal.com/file-scan/report.html?id=9c3864e95dfb5c3698369ba5369808e68e62dc884fd47ae3d32b4b75e681e9f9-1316254398

File name: fywoumam.exe
Submission date: 2011-09-17 10:13:18 (UTC)
Current status: finished
Result: 4/ 44 (9.1%)

Le rapport HijackThis témoin de la VM non infectée :

Avec Sandbox…

A l’execution du malware, Avast! détecte un risque potentiel et propose de lancer le programme dans la Sandbox.
Chose que je vais faire.


Le dropper s’execute et lance un processus fytteb.exe

Une fois le second processus lancé, je lance HijackThis, on voit qu’aucune modification n’a été faite.
Un redémarrage de l’ordinateur et aucun processus suspect n’est lancé.

Un autre cas ici avec un Exploit sur site WEB qui executer un malware.
Ce dernier est automatiquement executé dans la Sandbox ce qui fait qu’il n’endommage pas le système :

 

Sans Sandbox…

Le même malware sur la même VM, cette fois, je dis à Avast! d’exécuter le fichier normalement.
Même chose le dropper lance à nouveau fytteb.exe – Avast! émet à nouveau une alerte, je décide d’exécuter le fichier normalement.

Un petite tour sur HijackThis, et cette fois-ci, on voit qu’une nouvelle ligne a été ajoutée.
Cette ligne permet de lancer un processus gube.exe au démarrage de l’ordinateur.

Je redémarre et effectivement ce processus se lance à l’ouverture du Bureau.

A noter qu’Avast! émet à nouveau une alerte pour proposer de lancer le processus dans la Sandbox.

A noter qu’en exécution normale du malware, Avast! détecte la création d’un fichier temporaire.

Alors, à quoi ça sert ?

Comme vous avez pu le constater, lorsque l’on exécute le dropper dans la Sandbox, ce dernier ne créé pas de clef qui permet de lancer le malware à chaque démarrage de l’ordinateur.
La Sandbox (bac à sables) est un environnement fermé dans lequel est exécuté le fichier et empếche toute modification du système, dès lors, le malware ne peux pas modifier le système pour se lancer au démarrage de l’ordinateur.
Il en va de même, par exemple, pour les rookits qui ne pourront pas installer le driver.

Cela permet donc de protéger l’ordinateur, des droppers non détecté, SI Avast! détecte un risque potentiel et propose de lancer le fichier dans la SandBox.

Avast! peux aussi émettre des alertes (faux positif) sur des programmes qu’il estime potentiellement dangereux alors qu’il ne le sont pas, Exemple avec OTL ci-dessous.
A l’utilisateur de juger selon la provenance du fichier.

Dans le même style de programme, vous avez Sandboxie, BufferZone Security Pro et DefenseWall.

Avast Version 8

Depuis la version 7 d’Avast!, les fichiers suspect sont automatiquement executés dans la SandBox.
Lorsqu’un fichier est executé dans la Sandbox avant son exécution réelle dans le système, voici la popup que vous obtenez :

Avast_V8_Sandbox
Ci-dessous Avast! n’est pas capable de déterminer si le programme est malicieux ou non, c’est à vous de déterminer selon la provenance s’il peux être un malware.
Si vous souhaitez lancer l’exécution réelle sur le système, cliquez sur Continuer l’exécution
En cas de détection d’un Trojan, Avast! bloque l’exécution de ce dernier.
Avast_V8_Sandbox2
Vous pouvez désactiver l’AutoSandbox ou ajouter des fichiers en exclusion, à partir du menu Paramètres dans l’Agent de fichiers.
Notez que lors de l’execution d’un programme en Sandbox, une popup informative vous en avertie, un bouton Modifier Paramètres permet d’accéder à la configuration de l’AutoSandbox

Avast_Sandbox_parametres

 

 

Print Friendly
(Visité 598 fois, 3 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet