Norman: Sandbox gegen unbekannte Viren verbessert

Norman hat die Sandbox-Komponente seiner Antiviren-Produkte verbessert. Sie soll mehr Funktionen besitzen, um Viren zu erkennen, für die noch keine Signaturen vorliegen. Norman Sandbox 2005 emuliert über 3000 APIs, kann also über 3000 Möglichkeiten nachbilden, eine Verbindung zum Betriebssystem oder zu anderer Software auf dem Computer aufzubauen.

Außerdem kann die Komponente nun mehrere Threads gleichzeitig emulieren. Das ist deswegen wichtig, weil manche Viren aus verschiedenen Threads bestehen, die parallel und unabhängig voneinander Aktionen ausführen.

Manche Malware durchsucht die Festplatte nach Mailadressen - entweder um sich an diese Adressen weiterzuverbreiten, oder um sie an ihren Autor zu senden, der sie dann verkauft. Auch diese Aktivität ("Harvesting") erkennt die Norman-Sandbox in der neuen Version. Da Instant Messaging (IM) wie ICQ und AIM immer häufiger genutzt wird, unterstützt die Emulation jetzt auch IM-Protokolle.

Die neue Sandbox ist in alle aktuelle Antivirenprodukte von Norman integriert beziehungsweise kann durch ein Online-Update nachgerüstet werden.

Eine Sandbox erkennt Viren durch ihr typisches Verhalten. Dazu simuliert sie unbemerkt im Hintergrund eine vom normalen System isolierte Computer- und Netzwerkumgebung, ähnlich einer virtuellen Maschine. Alle Programme und Prozesse werden zuerst in der Sandbox ausgeführt und erst bei Unbedenklichkeit auch auf dem echten Betriebssystem. Dadurch sind Antiviren-Produkte mit Sandbox in der Lage, Malware zu erkennen, auch wenn noch keine Signaturen dafür vorliegen.