Digital sandkasse mot virus

Det er ikke bare virusprodusentene som prøver å overgå hverandre i innovasjon. Heldigvis for oss databrukere er antivirusleverandørene like ivrige etter å bekjempe den digitale styggedommen på.

Den norske antivirusprodusenten Norman ligger forrest i løypa med et verktøy de kaller en sandkasse, som lar mistenkelige programfiler utfolde seg i isolat og under observasjon.

Problemet øker

Den tradisjonelle måten å bekjempe virus, ormer, trojanere og andre uhumskheter på, er å analysere koden for å se hva de gjør og så skrive en digital vaksine. Slike vaksinefiler sendes ut med regelmessige mellomrom fra leverandørene. I de siste par årene har virusproblemet tiltatt kraftig. I love you-viruset, som spredte seg lynraskt rundt i fjor og sendte kopier av seg selv til alle adressatene i Outlook-kontaktlisten til de rammede, var en vekker. I stedet for å åpne et kjærlighetsbrev, åpnet folk et relativt enkelt Visual Basic-script som slettet alle JPEG-bildefilene på disken.

Selv om mange bildefiler gikk tapt, har resultatet av I love you i det minste medført langt større oppmerksomhet på beskyttelse, noe antivirusleverandørene sikkert ikke har noe i mot. Skadene som de store virusepidemiene de siste månedene ville resultert i, hadde nok vært større, hadde det ikke vært for den nye digitale helsebevisstheten.

Innovasjonsrace

Dessverre er den tradisjonelle vaksinesyklusen et svakt punkt, som stadig blir mer åpenbart. Dagens virus sprer seg med stor hastighet over internett og kan gjøre stor skade på de timene det tar å utvikle et botemiddel. Selv om antivirusleverandørene jobber stadig raskere, er dette et våpenkappløp der tid er essensielt.

Normans sandkasse er en ny og innovativ løsning på dette problemet. Den stopper virus selv om det ennå ikke finnes noen vaksine. Sandkassen er i praksis en virtuell programvarebasert PC på litt over én MB. Den er ikke en komplett PC, som kan kjøre tekstbehandling, men den inneholder det som et virus trenger for å gjøre skade som harddisk med bootsektor og operativsystem.

Klassifiseres

Alle mistenkelige filer som på en eller annen måte kopieres inn på PC-en, blir først kjørt i denne virtuelle PC-en. Hvordan de oppfører seg her i den virtuelle PC-en, avgjør om de blir klassifisert som skadelige. Hvis et mistenkelig program som sjekkes, skriver en fil på den virtuelle disken, så restartes den virtuelle PC-en for å se hva den nye filen fortar seg. Hvis den fortsetter å kopiere seg selv, så er dette pr. definisjon et virus.

- Det elegante med denne løsningen er at vi kan oppdage og isolere et virus selv om ingen har sett det før og det ikke er utviklet noen tradisjonell vaksine mot det, sier Kurt Natvig i Norman. Natvig har utviklet verktøyet.

Under utvikling

Normans nye teknologi høstet mye lovord på den siste konferansen i Praha for alle som jobber i antivirusbransjen. Ingen andre leverandører har noe liknende, selv om det lenge har vært diskutert liknende metoder. Norman vil fortsette å videreutvikle sandkasseteknologien. Dagens utgave har emulerte versjoner av operativsystemene DOS og Windows 98, mens senere modeller vil ha langt flere for å håndtere operativsystemspesifikke virus. I løpet av det neste halvåret vil Norman bygge inn flere virtuelle PC-er med nettverksegenskaper som kan sende filer til hverandre og dermed avsløre de nye former for virus.

Mange har begynt å se på Norman med fornyet interesse, og den nye sandkasseteknologien er sikkert en viktig årsak til det. Kursen på Norman-aksjen har fordoblet seg i løpet av noen måneder.