Choix du paysPour obtenir une solution antivirus proactive, le meilleur moyen est d’exécuter le fichier suspect dans un environnement sécurisé. En d’autres termes, il suffit de laisser le virus jouer son rôle.
 |
Ainsi, chaque fichier suspect et inconnu qui tente de s’introduire dans l’ordinateur est isolé, ce qui l’empêche d’infecter le système informatique pendant l’analyse. Pendant que le virus se dévoile, la solution proactive surveille et étudie le comportement du fichier suspect.
En fonction des résultats de l’analyse, le système détermine si le fichier doit être mis en quarantaine ou s’il peut pénétrer dans l’ordinateur. Cette opération est difficilement réalisable sur un système réel.
De nombreux paramètres du système d’exploitation doivent être modifiés avant la propagation d’un virus potentiel (dépendances comme la date, l’heure, le numéro de version, les paramètres de sécurité, le répertoire système, etc.). L’utilisation d’un système réel nécessiterait de nombreux réglages et, très probablement, plusieurs redémarrages. En bref, cette procédure prendrait beaucoup de temps et ne serait pas du tout efficace.
Pour être en mesure d’effectuer cette opération dans un délai acceptable et avec des ressources systèmes efficaces, un module séparé (SandBox) avec son propre système d’exploitation est nécessaire. La technologie Norman SandBox fonctionne comme un élément du moteur de scannage antivirus Norman et elle est compatible avec les fonctions Windows telles que Winsock, Kernel et MPR. Elle prend également en charge les fonctions réseau et Internet telles que HTTP, FTP, SMTP, DNS, IRC et P2P.
En d’autres termes, nous parlons ici d’un environnement informatique totalement virtuel, isolé au sein du véritable ordinateur, et faisant partie du moteur de scannage antivirus Norman. Il n’est donc aucunement nécessaire d’ajouter du matériel supplémentaire pour réaliser cette opération !
Le simulateur utilise les capacités complètes ROM BIOS, un matériel virtuel, des disques durs virtuels, etc. Il émule l’amorce complète d’un système classique au démarrage, en commençant par charger les fichiers du système d’exploitation et l’interpréteur de commande à partir du lecteur virtuel. Le lecteur contient des répertoires et des fichiers qui sont des éléments nécessaires au système, conformes aux fichiers système présents sur les disques durs physiques.
Le fichier suspect est placé dans le disque dur virtuel et il est exécuté dans l’environnement virtuel. Ce fichier suspect n’a pas moyen de se rendre compte qu’il est exécuté dans un environnement de simulation...
Dans l’environnement virtuel, le fichier peut faire ce qu’il veut. Il peut infecter des fichiers, en supprimer. Il peut se copier lui-même à travers les réseaux. Il peut se connecter à un serveur IRC. Il peut envoyer des courriers électroniques, ou encore paramétrer des ports d’écoute. Toutes les actions qu’il entreprend sont enregistrées par le programme antivirus, puisque c’est en fait l’émulateur qui effectue ces actions à partir du code présent dans le fichier. Aucun code n’est exécuté sur l’unité centrale réelle, sauf celui du moteur à émulateur antivirus ; même le matériel présent dans le PC virtuel est émulé.
Le problème n’est pas de surveiller et de bloquer les actions potentiellement dangereuses, mais plutôt d’imaginer ce que le programme aurait fait s’il avait été autorisé à agir en toute liberté sur un ordinateur non protégé, dans un réseau non protégé, ou même sur un serveur Netware, sous Linux, OS/2 ou DOS.
La solution Norman : laisser le virus dévoiler son jeu... avant de prendre le contrôle de la partie !
|
|
Medium risk
Low risk