Avast DeepScreen

[Merlin]

Hallo,

DeepScreen stellt einen automatisierten Vorgang dar, um das System vor Risiken bei der Ausführung unbekannter Programme zu schützen. Ob ein Programm von DeepScreen ausgeführt und analysiert wird, hängt von folgenden Kriterien ab:

• Die Datei wird nach einer ersten statischen Analyse als verdächtig eingestuft (Ergebnis der Überprüfung durch den Dateisystem-Schutz).
• Die Datei ist nicht weit verbreitet (Ergebnis der Überprüfung durch FileRep).
• Die Herkunft/Bezugsquelle der Datei ist verdächtig (Ergebnis der Überprüfung durch den Dateisystem- und Web-Schutz).
• Die Datei wird von einem Netz- oder Wechsellaufwerk ausgeführt (Ergebnis der Überprüfung des Dateisystem- und Netzwerk-Schutz).
• Die Datei wird durch den durch die generirsche Heuristik als verdächtig eingestuft oder in einem verdächtigen Kontext ausgeführt (Ergebnis der Überprüfung durch den Dateisystem-Schutz).

Funktionsweise

Verdächtige Programme werden automatisch von DeepScreen gestartet und während ihrer Laufzeit analysiert. Dabei führt DeepScreen das verdächtige Programm in einer isolierten Umgebung aus und beobachtet folgende Aktionen des Programms:

• Änderungen im Dateisystem, der Registrierung, Systemkomponenten, Netzwerkschnittstellen, usw...
• Versuche, andere Prozesse zu beeinflussen
• Versuche, Veränderungen an anderen ausführbaren Dateien durchzuführen

DeepScreen arbeitet als Ergänzung des Dateisystem-Schutz, d.h. wenn die Suchengine anhand der oben genannten Kritierien entscheidet, dass die ausführbare Datei verdächtig ist, laufen die nachfolgenden Aktionen ab:

1. Die Anwendung wird von DeepScreen ausgeführt und ein entsprechender Dialog wird angezeigt, der darüber informiert, dass avast! DeepScreen die verdächtigen Dateien analysiert. Hier wird auch der eigentliche Grund angezeigt, warum diese Datei verdächtig ist.
2. Die Anwendung läuft für ca. 15 Sekunden (ausser sie wird vorher beendet). Während die Anwendung läuft, werden Details darüber gesammelt, was sie dabei tut.
3. Die Ergebnisse aus der Analyse werden dann ausgewertet und
   
   1. wenn es als schädlich eingestuft wird, wird der Benutzer mit den üblichen Optionen wie "in den Container verschieben", "Löschen", usw konfrontiert.
   2. wenn die die Datei nicht als schädlich eingestuft wird, wird das Programm normal gestartet.

Der zu analysierende Prozess und der Zielprozess werden auf einer Art zweitem, isoliertem Desktop virtualisiert, die Beinflussung des Zielprozesses erlaubt und das Verhalten beobachtet, so dass eine tiefergehende Analyse der Veränderung im Zielprozess möglich ist.

DeepScreen entdeckt zur Zeit (Stand: Januar 2013) ca. 50000 Infektionen pro Tag. Das Virenlabor analysiert mit der AutoSandbox täglich ca. 40000 eindeutige Malware Proben und sammelt die Ergebnisse, auf 180 virtuellen Maschinen in Ramdisks und das 24 Stunden pro Tag.

Zur Virtualisierung der Prozesse wird Avast NG, das auf VirtualBox basiert, eingesetzt. Sollte der Rechner nicht den Anforderungen dieser Lösung entsprechen, wird die von AVAST selbstentwickelte und bis zur Veröffentlichung von Avast NG eingesetzt Virtualisierungslösung genutzt, die auch von der Avast Sandbox und SafeZone verwendet wird.

Einstellungen
Die Einstellungen zur AutoSandbox befinden sich in der avast! Programmoberfläche unter:

• Avast 2015: Einstellungen -> Allgemein -> DeepScreen einschalten
• Avast 2014: Einstellungen -> Antivirus -> DeepScreen

[Avast-Homenutzer]

Kann man bei der Freeversion irgendwie in die Autosandbox "reinschauen" um das gestartete Tool wieder zu deinstallieren?
Bei mir hat übrigens die Autosandbox prima funktioniert.

[Merlin]

Hallo,

das ist nicht möglich. Die Änderungen werden auch wieder verworfen, nachdem das Tool in der AutoSandbox lief und dann beendet wurde.

[Auggie]

Der IE 9 verhindert sogar die Ausführung bevor avast! das Tool bemerkt.
Ich hatte mir das Tool mit dem IE 9 heruntergeladen; offensichtlich wird das Tool dann auch gleich ausgeführt......zumindest gab der IE 9 eine Meldung aus, das die Ausführung blockiert wäre. Erst unter dem Punkt Aktionen ---> weitere Aktionen gibt es die Option Trotzdem ausführen, erst ein Klick darauf führt das Tool aus, d.h. die Auto-Sandbox meldet sich.
Von der Ausführung bleiben keine Spuren zurück.

[Avast-Homenutzer]

Aha, also wenn ich das jetzt richtig verstanden habe dann ist das so wenn ich ein Programm herunterlade und die Autosandbox schaltet sich ein dann kann ich das Programm dann öffnen aber wenn ich es dann schließe ist es auch komplett vom Rechner also auch aus der Sandbox?

[Merlin]

Hallo,

Aha, also wenn ich das jetzt richtig verstanden habe dann ist das so wenn ich ein Programm herunterlade und die Autosandbox schaltet sich ein dann kann ich das Programm dann öffnen aber wenn ich es dann schließe ist es auch komplett vom Rechner also auch aus der Sandbox?

die Sandbox ist ja gerade dazu da, um verdächtige Objekte ausführen zu können, ohne dass das normale System davon beeinträchtigt wird. Die Antwort lautet also "Ja" (es bleibt nichts auf deinem Rechner übrig), die Funktionsfähigkeit der AutoSandbox natürlich vorausgesetzt. Aber gerade dafür ist dieser Test ja auch da.

[Avast-Homenutzer]

Man das fetzt ja. Das ist ja gerade zu genial. Gibt es denn bei der Autosandbox vom Hersteller so eine Art von vorgegebener "Blacklist" oder entscheidet die Software von Fall zu Fall? Oder vielleicht beides?

[Merlin]

Hallo,

die avast! Heuristik Engine entscheidet, ob ein Programm in der AutoSandbox laufen sollte oder nicht, d.h. es wird jeder Prozess für sich betrachtet. Natürlich entspricht das Test Tool natürlich genau wie der EICAR Virus den Merkmalen eines verdächtigen Programms und wird dadurch erkannt. Es soll damit einfach geprüft werden, ob die Sandbox richtig arbeitet oder auch nicht.

[sven71cb]

Super! Jetzt hatte ich endlich auch einmal die Sandbox in Betrieb. Hat super funktioniert. Der Fuchs hat den Download ohne Meldung zugelassen.

[Auggie]

Downloaden konnte ich das Tool auch problemlos, es ist gespeichert worden und wohl direkt danach ausgeführt worden.
Und genau das hat der IE nicht wollen.
Um das jetzt genauer zu ergründen, mache ich später mal einen Gegentest und wähle Ausführen statt speichern unter