O Zone-H testou o software sandboxie que ajuda os usuários a se previnir de pragas digitais como vírus, malwares e trojans.
Para testar o software utilizamos o browser Internet Explorer v 6.0.3790.1830 e o sandboxie v 2.42, para verificar se o software era mesmo capaz de barrar qualquer tipo de tentativa de ataque de algum malware.

O download e instalação do software é bastante simples e o mesmo cria um atalho na area de trabalho de onde pode ser iniciado o browser. Quando ativado o software cria uma pasta em c:\DOCUMENTS AND SETTINGS\LOGIN\SANDBOX\ onde será armazenado todas as informações de configuração do software e  uma pasta como se fosse um HDD onde será armazenad cookies, histório de sites, download, arquivos tempários e cache do browser...

Ativamos o sandboxie e entramos em um site famoso de crackers para verificar o funcionamento do software, logo na página principal do site visistado apareceu um popup em javascript que iniciou uma execução de uma aplicativo em JAVA. O java foi iniciado pelo sandbox que criou o arquivo de log do java e os arquivos temporários normamente dentro das subpastas "sandbox", neste momemto o site começou a efetuar uma tentativa de estouro de memória (buffer overflow) para tentar instalar um trojan downloader no sistema. Como isto não foi possível, pois o sandbox negou o acesso do aplicativo as chamadas especiais que o site tentava fazer para ocasionar o estouro de memória,  apareceu uma tela pedindo para fazer o download do aplicativo.
Efetuamos o download para a pasta "Meus Documentos" que também era uma pasta especial criada pelo sandbox.

Continuamos a navegação pelo site de crack's e novamente o site tentou causar um estouro de memória para rodar uma arquivo malicioso com a extensão WMF. Este tipo de arquivo é muito usado por crackers para conseguir acesso remoto a um computador que esteja desatualizado. Uma vez instalado, abre uma porta específica que deixa um invasor controlar seu computador remotamente.
Permitimos a execução deste arquivo para efeitos de teste e o mesmo foi bloqueado pois fazia chamadas de execução de softwares fora do ambiente criado pelo sandboxie.

Após estes tentativas de infecção da máquina por meio de navegação em sites não confiáveis, efetuamos teste com alguns vírus (inclusive os que foram baixados do site visitado).
Testamos um trojan horse comum em muitos computadores o TROJ_VB.AU e o famoso criador de keylogger (captura teclas digitadas) PROAGENT V2.0 e os vírus que foram baixados no site dos crackers.
Tentamos executar o TROJ_VB.AU e o software foi bloqueado, o mesmo ocorreu com o outro trojan horse dos sites de crackers.
Executamos o software de criação de keyloggers que é bastante usada por quadrilhas de phising scam e o software abriu normalmente, configuramos o software para criar o "servidor" (arquivos que será usado para infectar a máquina alvo) e o software salvou normalmente o servidor dentro da pasta do sanxbox. Fechamos a ferramenta de criação e testamos o vírus já criado, o mesmo tentou se instalar no registro e criar usas pastas dentro da pasta SYSTEM32 e colocar seus arquivos infectados mas todas estas tentativas foram automáticamente sendo bloqueadas impedindo a execução do vírus e a infestação da máquina.

Arquivos temporários e demais arquivos criados foram facilmte apagados, pois na configuração do software existem  uma opção para limpar as pastas quando ele for fechado.
O sofware contém um aqruivo de nome start.exe no qual um administrador poderá usar para iniciar qualquer aplicativo através da linha de comando tornando o software bastante útil até mesmo dentro de corporações que tiverem bastante incidência de vírus ou outros problemas relacionados a segurança.
Com este programa a estação de trabalho pode ser configurada para iniciar o cliente de e-mail e o browser sempre dentro deste ambiente virtual criado evitando a contaminação da estação e possívelmente de toda a rede.

Esquema de funcionamento normal de uma chamada padrão de software.

Esquema de funcionamento com o sandboxie ativado.

Tentativa de estouro de memória do site de crackers.

 
Vírus usados nos testes dentro do sandbox.

 































Se tentar clicar sobre os executáveis dos vírus ou se os mesmos tentarem se instalar na máquina nos casos de virem pela navegação na internet aparece a seguinte mensagem de erro.

 
 Listagem dos processos do sandboxie.

Software disponível para download em www.sandboxie.com

Comentários (1)

	1. 01-07-2006 15:23
	Muito Bom Testei e achei muito bom este software. Denunciar

Visitante

Escrever comentário

Por favor, o assunto do seu comentário precisa ser relevante ao assunto do artigo. Ataques pessoais e/ou racistas serão deletados. Por favor, não use os comentários para fazer propaganda de seu site ou será deletado. Somente usuários registrados podem postar comentários.
Nome:
Homepage
Título:
Comentário:
Código:*

Powered by AkoComment Tweaked Special Edition v.1.4.6
AkoComment © Copyright 2004 by Arthur Konze - www.mamboportal.com
All right reserved