Sandboxie: Fique livre das pragas digitais

30/06/2006 Written by Marcelo Almeida (Vympel)

O Zone-​H testou o soft­ware sand­boxie que ajuda os usuários a se pre­venir de pra­gas dig­i­tais como vírus, mal­wares e tro­jans.
Para tes­tar o soft­ware uti­lizamos o browser Inter­net Explorer v 6.0.3790.1830 e o sand­boxie v 2.42, para ver­i­ficar se o soft­ware era mesmo capaz de bar­rar qual­quer tipo de ten­ta­tiva de ataque de algum malware.

O down­load e insta­lação do soft­ware é bas­tante sim­ples e o mesmo cria um atalho na área de tra­balho de onde pode ser ini­ci­ado o browser. Quando ati­vado o soft­ware cria uma pasta em c:\DOCUMENTS AND SETTINGS\LOGIN\SANDBOX\ onde será armazenado todas as infor­mações de con­fig­u­ração do soft­ware e uma pasta como se fosse um HDD onde será armazenad cook­ies, histório de sites, down­load, arquivos tem­pários e cache do browser…

Ati­va­mos o sand­boxie e entramos em um site famoso de crack­ers para ver­i­ficar o fun­ciona­mento do soft­ware, logo na página prin­ci­pal do site vis­i­tado apare­ceu um popup em javascript que ini­ciou uma exe­cução de uma aplica­tivo em JAVA. O java foi ini­ci­ado pelo sand­box que criou o arquivo de log do java e os arquivos tem­porários nor­mal­mente den­tro das sub­pas­tas “sand­box”, neste momento o site começou a efe­t­uar uma ten­ta­tiva de estouro de memória (buffer over­flow) para ten­tar insta­lar um tro­jan down­loader no sis­tema. Como isto não foi pos­sível, pois o sand­box negou o acesso do aplica­tivo as chamadas espe­ci­ais que o site ten­tava fazer para oca­sionar o estouro de memória, apare­ceu uma tela pedindo para fazer o down­load do aplica­tivo.
Efe­t­u­amos o down­load para a pasta “Meus Doc­u­men­tos” que tam­bém era uma pasta espe­cial cri­ada pelo sandbox.

Con­tin­u­amos a nave­g­ação pelo site de crack’s e nova­mente o site ten­tou causar um estouro de memória para rodar uma arquivo mali­cioso com a exten­são WMF. Este tipo de arquivo é muito usado por crack­ers para con­seguir acesso remoto a um com­puta­dor que esteja desat­u­al­izado. Uma vez insta­l­ado, abre uma porta especí­fica que deixa um inva­sor con­tro­lar seu com­puta­dor remo­ta­mente.
Per­miti­mos a exe­cução deste arquivo para efeitos de teste e o mesmo foi blo­queado pois fazia chamadas de exe­cução de soft­wares fora do ambi­ente cri­ado pelo sand­boxie.

Após estes ten­ta­ti­vas de infecção da máquina por meio de nave­g­ação em sites não con­fiáveis, efe­t­u­amos teste com alguns vírus (inclu­sive os que foram baix­a­dos do site vis­i­tado).
Tes­ta­mos um tro­jan horse comum em muitos com­puta­dores o TROJ_VB.AU e o famoso cri­ador de key­log­ger (cap­tura teclas dig­i­tadas) PROA­GENT V2.0 e os vírus que foram baix­a­dos no site dos crack­ers.
Ten­ta­mos exe­cu­tar o TROJ_VB.AU e o soft­ware foi blo­queado, o mesmo ocor­reu com o outro tro­jan horse dos sites de crack­ers.
Exe­cu­ta­mos o soft­ware de cri­ação de key­log­gers que é bas­tante usada por quadrilhas de phis­ing scam e o soft­ware abriu nor­mal­mente, con­fig­u­ramos o soft­ware para criar o “servi­dor” (arquivos que será usado para infec­tar a máquina alvo) e o soft­ware salvou nor­mal­mente o servi­dor den­tro da pasta do sanxbox. Fechamos a fer­ra­menta de cri­ação e tes­ta­mos o vírus já cri­ado, o mesmo ten­tou se insta­lar no reg­istro e criar usas pas­tas den­tro da pasta SYSTEM32 e colo­car seus arquivos infec­ta­dos mas todas estas ten­ta­ti­vas foram auto­mati­ca­mente sendo blo­queadas impedindo a exe­cução do vírus e a infes­tação da máquina.

Arquivos tem­porários e demais arquivos cri­a­dos foram facil­mente apa­ga­dos, pois na con­fig­u­ração do soft­ware exis­tem uma opção para limpar as pas­tas quando ele for fechado.
O soft­ware con­tém um arquivo de nome start.exe no qual um admin­istrador poderá usar para ini­ciar qual­quer aplica­tivo através da linha de comando tor­nando o soft­ware bas­tante útil até mesmo den­tro de cor­po­rações que tiverem bas­tante incidên­cia de vírus ou out­ros prob­le­mas rela­ciona­dos a segu­rança.
Com este pro­grama a estação de tra­balho pode ser con­fig­u­rada para ini­ciar o cliente de e-​mail e o browser sem­pre den­tro deste ambi­ente vir­tual cri­ado evi­tando a con­t­a­m­i­nação da estação e pos­sivel­mente de toda a rede.

Esquema de fun­ciona­mento nor­mal de uma chamada padrão de soft­ware.

Esquema de fun­ciona­mento com o sand­boxie ati­vado.

Ten­ta­tiva de estouro de memória do site de crackers.

Vírus usa­dos nos testes den­tro do sand­box.

Se ten­tar clicar sobre os exe­cutáveis dos vírus ou se os mes­mos tentarem se insta­lar na máquina nos casos de virem pela nave­g­ação na inter­net aparece a seguinte men­sagem de erro.

 

 Listagem dos proces­sos do sand­boxie.

Soft­ware disponível para down­load em www​.sand​boxie​.com

Share this content: