Viren in Virtuellen Maschinen

#1 Hallo liebe Forenuser,

ich nutze seit einiger Zeit die Virtuelle Maschine "VMware Player". Da ich Informatik studiere und mich in die Richtung Informationssicherheit begeben möchte, würde ich gerne ein paar schädliche Programme (wie zum Beispiel Viren und Spyware) im Eigenversuch testen.
Da ich mein Hostsytem (Windows 7 Professional mit Service Pack 1) nicht gefährden will würde ich die Schadsoftware gerne in meiner VM (Windows XP Professional) testen.
Nun zu meinen Fragen:

Welche Einstellungen/Dinge muss ich beachten, damit ich Schadsoftware aus der VM nicht in mein Hostsystem übertrage? Reicht es, die so genannten "Shared Folders" zu deaktivieren oder kann eine Schadsoftware auch noch auf anderem Wege in mein Hostsystem geraten?

Wichtig ist, dass ich in meiner VM Internetzugriff habe, um an die notwendige Software zu gelangen. Dies realisiere ich zur Zeit über NAT (Used to share the host´s IP address). Ist dies Sinnvoll im Hinblick auf die Sicherheit/Abschirmung der VM zum Hostsystem??

Über jede eure Antworten würde ich mich sehr freuen.
Vielen Dank für alle, die sich bemühen mir ein paar Infos zu hinterlassen.

MfG
Ultimate

#2 Hallo.

Mittlerweile gibt es genügend Schädlinge, die aus VM´s ausbrechen und das Hostsystem infizieren können.
Von daher möchte ich meinen, das man von Schädlingen die Finger davon lässt, es sei denn man weiss sehr genau was man macht.
Eigenversuche mit so manch einem Schädling hat dann schnell das System zerstört.
Vergiss VM´s, schaff dir einen Testrechner an den du vermüllen kannst wie du möchtest Ein Programm zum erstellen von Backups sollte trotzdem dazu gehören, du hast das System schneller wieder virenfrei als es neu aufzusetzen.

Wenn du deinen Virenscanner testen möchtest, dann sollten Testviren genügen.
Da es sich dabei um unschädliche Viren handelt benötigst du dafür nicht einmal eine VM.

Virenschreiber sind ja auch nicht auf den Kopf gefallen und so gibt es auch genügend Schädlinge, die ihre Schadroutine einstellen, wenn sie bemerken das sie in einer VM ausgeführt werden.

Eicar, Beagle, Netsky und andere bekommst du hier in einer harmlosen Variante, weil ohne Schadroutine:
http://www.testvirus.de/de/testvirus.html

#3

Zitat

Mittlerweile gibt es genügend Schädlinge, die aus VM´s ausbrechen und das Hostsystem infizieren können.

Ja, welche denn alle?
Sehe ich eher nicht so.

@Ultimate

Zitat

Welche Einstellungen/Dinge muss ich beachten, damit ich Schadsoftware aus der VM nicht in mein Hostsystem übertrage?

Wenn du einfach ganz simple Sachen beachtest und keine Verzeichnisse vom host sys r/w freigibst dürfte auch nichts passieren.
Mit VMware kenn ich mich explizit nicht aus, benutze da schon eher vbox.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 Hmm,
Tante Google findet dazu schon so einiges: http://www.google.de/search?client=opera&rls=de&q=vmware+vulnerability+host&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest
Oder auch auf Heise: http://www.heise.de/security/suche/?q=vmware+vulnerability&button=los%21&rm=search

In der C´t oder auf Heise gab es auch mal einen Bericht dazu (schon 1-3 Jahre her..), dass Schadsoftware häufig nicht mehr in einer VM zu testen ist, da diese selber erkennen kann, dass es auf einer VM läuft und dann die Schadroutine selber deaktiviert um nicht entdeckt zu werden.

Letztendlich würde ich einfach mal sagen, dass ich, egal ob VM oder ohne, keine Produktivmaschine zum Virentesten nutzen würde, also auch nicht als Host.

Trotz Virtualisierungsschicht befindet sich die VM ja immer noch zumindest an der gleichen Internetleitung. NAT-ten oder Bridgen bedeutet auch, dass der Host mit dem Netzwerk zu tun hat. Andere Schnittstellen könnten natürlich auch noch Exploits haben.

Also im Optimalfall nutzt du einfach einen separaten Rechner mit Images.

Bei VBox gab es da doch auch vor nicht allzu langer Zeit Probleme: http://www.google.de/search?client=opera&rls=de&q=virtualbox+vulnerability&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5

Zitat

In der C´t oder auf Heise gab es auch mal einen Bericht dazu (schon 1-3 Jahre her..), dass Schadsoftware häufig nicht mehr in einer VM zu testen ist, da diese selber erkennen kann, dass es auf einer VM läuft und dann die Schadroutine selber deaktiviert um nicht entdeckt zu werden.

Das weiß ich in der Tat, ich wollte darauf hinaus das Schadsoftware einer VM ausbrechen kann (so ohne weiteres).

Aber naja bis auf ein paar poc's bis jetzt nichts... aber die meiste Schadsoftware hat sowieso nicht derartige Qualität.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#6

Zitat

Xeper postete
Aber naja bis auf ein paar poc's bis jetzt nichts... aber die meiste Schadsoftware hat sowieso nicht derartige Qualität.

Wohl wahr.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#7

Zitat

Xeper postete

Zitat

Mittlerweile gibt es genügend Schädlinge, die aus VM´s ausbrechen und das Hostsystem infizieren können.

Ja, welche denn alle?
Sehe ich eher nicht so.

Diese namentlich zu nennen fällt mir sicherlich schwer, da ich versuche jeglichen Umgang mit Schadsoftware zu vermeiden.
Ich weiss auch, das rund 2.600 Menschen beim Angriff auf das WTC umkamen, aber ich kenne die auch nicht namentlich, genau wie die Schädlinge, die aus VM´s (angeblich) ausbrechen können
Vielleicht ist es auch nur ein Gerücht um solche Schädlinge. Das können aber nur die dementieren, die es besser wissen, weil sie es getestet haben. Und wenn an solchen Gerüchten (sollten es denn welche sein) auch nur 5% Wahrheit dran ist, dann ist das für mich bereits Grund genug in VM´s Programme zu testen, aber bestimmt keine Schädlinge

#8

Zitat

Das können aber nur die dementieren, die es besser wissen, weil sie es getestet haben. Und wenn an solchen Gerüchten (sollten es denn welche sein) auch nur 5% Wahrheit dran ist,
...

Nein nein falsch, ich kann nichts dementieren was technisch sehr unwahrscheinlich ist (ergo nicht existiert) - du musst mir erstmal beweisen das die rosa roten Elefanten existieren.

Bzw. da muss man nichts testen es gibt theoretische Grundlagen da können wir uns drauf ja stützen, aber es scheint so als ob es bis jetzt nichts dergleichen gibt.

Zitat

Und wenn an solchen Gerüchten (sollten es denn welche sein) auch nur 5% Wahrheit dran ist, dann ist das für mich bereits Grund genug in VM´s Programme zu testen, aber bestimmt keine Schädlinge

Hmm ja Windows user (besonders die die nur "user" sind) haben immer Grund zur Paranoia.
Aber jemand der Informatik studiert dem traue ich schon zu, abzuwegen zu können was geht und was nicht geht - soll er doch ruhig ein wenig damit experimentieren das gibt ordentlich EXP.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Hey Leute,

vielen Dank für eure Antworten. Da mir die Sache bisher auch zu heiß war (in Bezug auf NAT, freigegebene Ordner usw) habe ich die Finger von gelassen.
Einen alten Rechner habe ich auch noch, ich denke ich werde den lieber "opfern", um auf Nummer sicher zu gehen!

Vielen Dank nochmals an alle.
Ihr habt mir sehr geholfen.

MfG
Ultimate

#10 Du könntest auch Linux aufsetzten, Windows in die VM & los gehts.