Phân tích hành động của Malware với Joebox Online Sandbox Chắc hẳn mọi người đã biết đến những dịch vụ quét virus trực tuyến khá thông dụng, phổ biến và được nhiều người biết đến như VirusTotal, với chức năng quét bằng hơn 40 chương trình diệt virus hàng đầu hiện nay, mục đích chính là phân tích hành động chính của file khi được kích hoạt trên máy tính. Bên cạnh đó là những cỗ máy quét virus trực tuyến rất đáng tin cậy khác như: ThreatExpert, CWSandbox, Anubis, Sunbelt Sandbox, Norman Sandbox và Comodo Instant Malware Analysis. Trong bài viết này, tác giả sẽ đề cập đến một tiện ích trực tuyến khác là Joebox. Bắt đầu chính thức đi vào hoạt động từ năm 2008, trải qua 3 năm phát triển và nâng cấp không ngừng, Joebox đã nhận được sự hưởng ứng và đóng góp và hưởng ứng tích cực của cộng đồng. Mới đây ngày 14/03/2010, Joebox đã nâng cấp lên phiên bản mới nhất 1.5.5 với nhiều sự thay đổi đáng chú ý: sửa lỗi khi thao tác với những trang HTML lớn, thêm chức năng đọc, viết các file thay đổi, chuỗi truy vấn giá trị chính tại các phần có sự thay đổi, tăng khả năng thiết kế HTML và cố định các lỗi cập nhật trên hệ thống máy chủ khi làm việc với các yêu cầu từ phía client. Một trong những điểm nổi bật của Joebox là người sử dụng có thể tùy chọn các phiên bản Windows để phân tích hành động của Malware. Ở chế độ mặc định, Joebox sẽ cho phép thực thi các chương trình Malware đó trên môi trường Microsoft Windows XP SP3, nhưng người sử dụng có thể lựa chọn tùy ý với 2 phiên bản khác là Vista SP2 và Windows 7 cùng thời điểm. Bên cạnh đó, bạn có thể tích vào mục “Get network data - PCAP” và mở bằng ứng dụng Wireshark để phân tích luồng lưu lượng, dữ liệu thu thập được. Bạn cần điền chính xác địa chỉ email vào ô “e-Mail” bởi vì toàn bộ kết quả và quá trình quét sẽ được gửi về địa chỉ email đó. Bản báo cáo sẽ được gửi dưới dạng file HTML, và có thể rất khó hiểu đối với những người ít kinh nghiệm trong lĩnh vực bảo mật. Có thể nhiều người sẽ băn khoăn về các bản báo cáo của Joebox khó hiểu hơn so với các cỗ máy trực tuyến khác? Một trong những điểm nổi bật và đặc trưng của Joebox là khả năng nhận diện được phần mềm Malware tự trang bị chức năng chống phân tích hành động (un-analyzable) mới nhất hiện nay mà các dịch vụ khác chưa có. Từ vị thế được ít người biết đến, Joebox đã trở thành 1 trong những tên tuổi đáng tin cậy trong lĩnh vực bảo mật và phân tích hành động của các phần mềm độc hại hiện nay. Chú ý rằng bạn chỉ nên tải file *.exe chứ không phải các định dạng khác như ZIP, RAR, 7z… Tuy nhiên, nếu người sử dụng sợ xảy ra nguy cơ vô tình kích hoạt phần mềm Malware đó trên máy tính cá nhân, bạn có thể đăng tải trực tiếp mà không cần để ý tới phần đuôi mở rộng, Joebox sẽ tự động nhận dạng đó là file thực thi câu lệnh (*.exe), mặc dù chúng có thể ngụy trang dưới dạng *.exe, *.dll, *.sys, *.doc, *.pdf Nhưng hãng bảo mật Symantec lại cho rằng thực ra thì không phải, Kneber chỉ đơn giản là một tên gọi khác của sâu Zeus Trojan. Cái tên Kneber đơn giản hiểu là một nhóm/cụm máy tính ma cụ thể, hay còn gọi là các bots, do một kẻ là chủ sở hữu sâu đó kiểm soát. Bản thân sâu Trojan này cũng tương tự Trojan.Zbot , hay còn được gọi là sâu Zeus, đã được phát hiện Vì thế, theo các chuyên gia bảo mật của Symantec, đúng là chuỗi Kneber này trong toàn mạng máy tính ma Zeus là rất lớn, nhưng thực chất nó không liên quan tới bất kỳ một mối đe dọa mã độc mới nào. Bởi vậy, những người dùng máy tính mà có sử dụng phần mềm bảo mật cập nhật nhất đương nhiên sẽ được bảo vệ an toàn trước mối đe dọa này. . Phân tích hành động của Malware với Joebox Online Sandbox Chắc hẳn mọi người đã biết đến những dịch vụ quét virus trực. việc với các yêu cầu từ phía client. Một trong những điểm nổi bật của Joebox là người sử dụng có thể tùy chọn các phiên bản Windows để phân tích hành động của Malware. Ở chế độ mặc định, Joebox. khác? Một trong những điểm nổi bật và đặc trưng của Joebox là khả năng nhận diện được phần mềm Malware tự trang bị chức năng chống phân tích hành động (un-analyzable) mới nhất hiện nay mà các