Das Verfahren ist sicher, weil nichts physisch auf die Platte gespeichert wird, selbst wenn das Muster es versucht. Die Testumgebung muss Speichermedien, Input-Output-Manager, ROM, RAM, CPU und den Benutzer (Tastatureingaben etc.) simulieren. Der Teufel steckt jedoch im Detail: Auch wenn eine virtuelle Welt viele Aspekte abdeckt, fehlt immer irgendetwas, eine bestimmte API etwa oder ein Service. Daran können Viren unter Umständen bemerken, dass sie sich in einer virtuellen Welt befinden. Manche Erreger sind zudem wählerisch bezüglich ihrer Ziel-Files und wann sie etwas tun. Daher muss auch die Auswahl der Zieldateien in der Sandbox gut überlegt werden.

Bei hybriden Viren wie Code Red oder Nimda ergeben sich weitere Schwierigkeiten. „Hybrid“ bedeutet in diesem Zusammenhang, die Viren verwenden auch klassische Hacker-Methoden zum Angriff. Sie nutzen Sicherheitslücken aus und verbreiten sich über E-Mail und Netzzugriffe. Um einem solchen Virus die Möglichkeit zur Verbreitung zu geben, muss die Simulationsumgebung diese Optionen offen lassen.

Die grundlegende Frage ist also: Wie simuliert man ein Netz? Zum Glück werden nicht mehrere emulierte PCs benötigt, im Prinzip genügt ein Computer für eine LAN-Simulation. Eine Nachbildung der Schnittstellen und APIs ist allerdings erforderlich. Insbesondere muss der emulierte PC über Schreibzugriff auf geteilte Ressourcen verfügen sowie über die Option, mit einem simulierten SMTP-Server zu kommunizieren (E-Mail-Verkehr). Daraus ergeben sich verschiedene Fragen und Komplikationen. An der Umsetzung dieser Ideen arbeitet Norman Data Defense.

Für viele Anwender ist jedoch ein anderes Handicap entscheidend: Will der Anwender überprüfen, ob das Programm etwas anstellt, müsse er dabei zugucken, legt Gernot Hacker, Senior Technical Consultant bei Sophos in Nieder-Olm, den Finger in die Wunde. „Das ist weit davon entfernt, bequem zu sein oder gar praktikabel in der täglichen Anwendung.“ Daher schränkt auch Krause ein: „Eine solche Emulation macht man nicht für jede Datei.“ Der Zeit- und Rechenaufwand wäre einfach zu groß.

Ergänzende Maßnahme

Das Verfahren eignet sich somit in erster Linie als ergänzende Maßnahme zu herkömmlichen Scannern. Beim On Access Scanning, einer ständigen Überprüfung auf Viren, die im Hintergrund läuft, kommt es nicht in Frage. Aber an Mail-Gateways, wo oft mehrere Antivirenprodukte parallel eingesetzt werden, ist ein kleiner Zeitverzug akzeptabel.