De ontwikkelaars van de online malwarescanner virustotal werken momenteel aan een “sandbox” functie waarmee de geüploade bestanden worden uitgevoerd in een speciale omgeving.
In deze omgeving worden de bestanden uitgevoerd zodat de gemaakte wijzigingen in het register, aangemaakte bestanden en processen die aangemaakt en gestart worden gelogd, hiermee krijgt u goed overzicht van het gedrag van het geüploade bestand.
Een kanttekening bij dit soort analyses is echter wel dat bepaalde malware een anti-VM (sandbox) functie heeft waarmee het detecteert of het in een zo’n soort omgeving wordt uitgevoerd, in dit soort gevallen zal de payload van de malware echter niet uitgevoerd worden.
Virustotal is niet de eerste die zo’n soort dienst aanbied, want er zijn al diverse online “sandboxes” beschikbaar.
Virustotaal geeft zelf in een blog-bericht al aan niet te willen concurreren met de huidige beschikbare sandboxes, maar een complete dienst met aanvullende rapporten beschikbaar wil stellen voor de beveiligingsgemeenschap.
Onderaan bij de Virustotal resultaten is dan ook een nieuw tabblad verschenen genaamd “Behavioural information” zoals u op de onderstaande drie voorbeeld kunt zien.
- https://www.virustotal.com/file/2f2a645b873a5dfe7985a2c9cbfeff3424e68d9181791c908081c023c2a817b0/analysis/
- https://www.virustotal.com/file/bf7ab9dcc69d8e0a1777fcb72e568708450fe32fae4d9cd67a68c27d2a2209cd/analysis/
- https://www.virustotal.com/file/e5fbeab009326a5ae129942bd824868ddbdec3efc4cb48404581c290aac1b4c9/analysis/
