file-analyzer.net vorgestellt

Vor einigen Tagen bin ich auf den Malware Analysierer file-analyzer.net aufmerksam geworden. Vor allem das schlichte Design und die Übersichtlichkeit haben mir sofort zugesagt. Ich hab ihn mit ein paar bekannten Schadware Typen gefüttert um mir so ein Bild der Nützlichkeit und Vertrauenswürdigkeit zu erstellen. Das Ergebnis möchte ich euch nicht vorenthalten.

Im Prinzip ist file-analyzer.net selbsterklärend. Es wird über den „Durchsuchen“-Dialog eine Datei ausgewählt und diese wird dann auf den Server hochgeladen. Währenddessen erscheint folgendes:

Unbenannt

Nachdem die Datei vollständig zum Server übertragen wurde, startet dieser die Datei in einer Virtuellen Maschine. Diese VM zeichnet dann alle ausgehenden Verbindungen, gestartet/erstellte Anwendungen und Registry Veränderungen auf und zeigt diese im Report an.

Ist dies abgeschlossen lassen sich die Ergebnisse auf mehreren Systemen einsehen, d.h. z.B. auf einem Windows XP oder Windows 7 Betriebssystem. In der kostenlosen Version sind beide enthalten, für weitere Betriebssystem (wie Windows 8 oder 64-Bit Betriebssysteme) wird die Vollversion benötigt.

Unbenannt

Mit einem klick auf die Lupe erhalten Sie Einblick in den Report. Hier erhalten Sie nun verschiedene Informationen, die wichtigsten sind:

  • Gefunden URLs
  • Autostart Register
  • Erstellte PE Dateien
  • Veränderungen an der Host-Datei
  • Anti-Debugging Funktionen
  • Registry Aktivitäten
  • Verbindung zu Sockets

Das große Problem

…es gibt mehrere Methoden die einen Scan verhindern. Das geht von primitiven Ideen wie die maximal Hochladbare Dateigröße zu überschreiten, bis hinzu Anti-Sandbox funktionen. D.h. die Malware merkt dass Sie einer Virtualisierten Umgebung ausgeführt wird und beendet sich, oder macht überhaupt nichts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.