Avast DeepScreen

[raschi]

Verstehe das irgendwie nicht.
Es öffnet sich als erstes ein Fenster von Avast, und fragt mich "In der Sandbox öffnen"? Empfohlen. -> ja.

Dann kommt ein ziemlich kleines Fenster mit einem Button "Modify the System"
Klick ich dort drauf öffnet sich wieder ein neues Fenster mit

"Check the following places for modification" usw.

Wie muss ich das nun deuten??

[raschi]

Habe es begriffen. Die AuotSandox lief bei mir nicht auf "Auto" ->umgestellt -> nun kam auch der passende Hinweis unten rechts.
Die Sandboxfunktion scheint mir echt ein sehr hilfreiches Tool zu sein.

Und der Unterschied zur Sandox in der Pro-Version ist dieser - das man verdächtige Programme permanent und nach Bedarf in der S.Box laufen lassen könnte - richtig?

[TerraX]

Hallo,

Und der Unterschied zur Sandox in der Pro-Version ist dieser - das man verdächtige Programme permanent und nach Bedarf in der S.Box laufen lassen könnte - richtig?

hier mal ein Auszug aus der avast! Hilfe.

Die avast! Sandbox ist ein Spezielles Sicherheitsfeature welches Ihnen erlaubt im Internet zu surfen oder eine andere Anwendung in einer völlig sicheren Umgebung auszuführen. Dies ist besonders beim Besuch risikoreicher Websites sinnvoll (versehentlich oder absichtlich) oder wenn verdächtige Anwendungen ausgeführt werden sollen. Sie können die Programme (oder den Browser) in der Sandbox ausführen um festzustellen ob sie sicher sind oder nicht, während Sie vollständig gegen schädliche Aktivitäten des Programmes geschützt sind.

[Merlin]

Hallo,

avast! DeepScreen (früher: AutoSandbox) basiert auf der gleichen Technologie wie die avast! Sandbox in avast! Pro / Internet Security und Premier. Der Unterschied ist, dass in bei avast! DeepScreen keine Programme zur Ausführung in der Sandbox manuell ausgewählt werden können. DeepScreen stellt einen automatisierten Vorgang dar, um das System vor Risiken bei der Ausführung unbekannter Programme zu schützen. Ob ein Programm von DeepScreen ausgeführt und analysiert wird, hängt von folgenden Kriterien ab:

• Die Datei wird nach einer ersten statischen Analyse als verdächtig eingestuft (Ergebnis der Überprüfung durch den Dateisystem-Schutz).
• Die Datei ist nicht weit verbreitet (Ergebnis der Überprüfung durch FileRep).
• Die Herkunft/Bezugsquelle der Datei ist verdächtig (Ergebnis der Überprüfung durch den Dateisystem- und Web-Schutz).
• Die Datei wird von einem Netz- oder Wechsellaufwerk ausgeführt (Ergebnis der Überprüfung des Dateisystem- und Netzwerk-Schutz).
• Die Datei wird durch den durch die generirsche Heuristik als verdächtig eingestuft oder in einem verdächtigen Kontext ausgeführt (Ergebnis der Überprüfung durch den Dateisystem-Schutz).

Funktionsweise

Verdächtige Programme werden automatisch von DeepScreen gestartet und während ihrer Laufzeit analysiert. Dabei führt DeepScreen das verdächtige Programm in einer isolierten Umgebung aus und beobachtet folgende Aktionen des Programms:

• Änderungen im Dateisystem, der Registrierung, Systemkomponenten, Netzwerkschnittstellen, usw...
• Versuche, andere Prozesse zu beeinflussen
• Versuche, Veränderungen an anderen ausführbaren Dateien durchzuführen

DeepScreen arbeitet als Ergänzung des Dateisystem-Schutz, d.h. wenn die Suchengine anhand der oben genannten Kritierien entscheidet, dass die ausführbare Datei verdächtig ist, laufen die nachfolgenden Aktionen ab:

1. Die Anwendung wird von DeepScreen ausgeführt und ein entsprechender Dialog wird angezeigt, der darüber informiert, dass avast! DeepScreen die verdächtigen Dateien analysiert. Hier wird auch der eigentliche Grund angezeigt, warum diese Datei verdächtig ist.
2. Die Anwendung läuft für ca. 15 Sekunden (ausser sie wird vorher beendet). Während die Anwendung läuft, werden Details darüber gesammelt, was sie dabei tut.
3. Die Ergebnisse aus der Analyse werden dann ausgewertet und
   
   1. wenn es als schädlich eingestuft wird, wird der Benutzer mit den üblichen Optionen wie "in den Container verschieben", "Löschen", usw konfrontiert.
   2. wenn die die Datei nicht als schädlich eingestuft wird, wird das Programm normal gestartet.

Der zu analysierende Prozess und der Zielprozess werden auf einer Art zweitem, isoliertem Desktop virtualisiert, die Beinflussung des Zielprozesses erlaubt und das Verhalten beobachtet, so dass eine tiefergehende Analyse der Veränderung im Zielprozess möglich ist.

DeepScreen entdeckt zur Zeit (Stand: Januar 2013) ca. 50000 Infektionen pro Tag. Das Virenlabor analysiert mit der AutoSandbox täglich ca. 40000 eindeutige Malware Proben und sammelt die Ergebnisse, auf 180 virtuellen Maschinen in Ramdisks und das 24 Stunden pro Tag.

Einstellungen
Die Einstellungen zur AutoSandbox befinden sich in der avast! Programmoberfläche unter:

• avast! 2014: Einstellungen -> Antivirus -> DeepScreen
• avast! 8: Antivirus -> Dateisystem-Schutz -> Einstellungen -> AutoSandbox

[checkoff]

Hi!

Habe mir das Testool "autosandboxme" geladen und ausprobiert ( http://public.avast.com/dev/autosandboxme.exe ).

Folgendes: Ist die Autosandbox aktiviert, funktioniert alles. Es kommt eine Meldung und es wird gefragt usw...

Ist die Sandbox jedoch aus, kommt nichts (irgendwo logisch ^^).
Jetzt ist aber doch anzunehmen, dass diese Testdatei quasi ein Schädling ist, der verdächtig ist. Sollte bei deaktivierter Autosandbox nicht wenigstens ein Warnhinweis kommen? Quasi die Einstellungen des RealtimeShields greifen und die Datei als verdächtig behandelt werden?

[TerraX]

Hallo,

wenn mein Hirn nach 9 Stunden Arbeit noch richtig arbeitet, ist es so...
Das Tool ist eigentlich nur gedacht, die Sandbox zu testen ob sie funktioniert.
Nicht mehr und nicht weniger!

[Alfred E. Neumann]

Die Autosandbox ist um einiges empfindlicher als die übrigen Schutzkomponenten, meiner Meinung nach etwas überempfindlich. Sie hat bei mir bisher nur bei vertrauenswürdigen Programmen angeschlagen.

[Merlin]

Hallo,

die Datei enthält keine Signaturen von Malware und verhält sich auch nicht wie Malware, daher schlagen die anderen Module auch nicht an. Sie ist halt dafür konzipiert, nur die reine Funktion der AutoSandbox zu prüfen.

[checkoff]

Hey.

Das die Datei für die Sandbox ist, habe ich schon verstanden.

Aber ich hatte schon einmal ein File, das mit Sandbox verdächtig war, und ohne Sandbox keine Nachricht kam. Ich denke da an den Verhaltensschutz, der dann meiner Meinung nach greifen sollte. Ist ja quasi das selbe.

Naja, Avast wird das schon richtig machen. Ich habe halt die Autosandbox in Avast Free bei meinen Bekannten, die sich nicht so mit PCs auskennen, deaktiviert, um nicht unnötig vermeintliche Fehlalarme zu provozieren...
Ah, wäre noch interessant zu wissen, ob bei einem Alarm der Sandbox auch einen Benachrichtigung per Mail versendet wird.
Muss das gleich mal testen...finde diese Option übrigens genial!

[Auggie]

Um das mal klar zu stellen:
Es ist keineswegs ein FP, wenn die Auto-Sandbox bei einer ausführbaren Datei vorschlägt, sie in der Sandbox auszuführen.
Die Auto-Sandbox pflegt eine Liste mit potenziell suspekter Software, ähnlich wie PUP.

Ich habe halt die Autosandbox in Avast Free bei meinen Bekannten, die sich nicht so mit PCs auskennen, deaktiviert, um nicht unnötig vermeintliche Fehlalarme zu provozieren...

Und damit beraubst Du gerade den Usern, die unsicher sind, einer sinnvollen Sicherheitsfunktion.

Ah, wäre noch interessant zu wissen, ob bei einem Alarm der Sandbox auch einen Benachrichtigung per Mail versendet wird.
Muss das gleich mal testen...finde diese Option übrigens genial!

Und wen soll die Mail erreichen? Den Besitzer des PCs ja wohl eher nicht, weil der kriegt die Meldung in Echtzeit auf den Bildschirm. Und ich brauche so eine Mail nicht, weil ich nicht über jeglichen Mist informiert werden muß, das auf dem System meiner Schwester so passiert.....wenn die sich unsicher ist, klingelt bei mir sowieso das Telefon.