Hallo,

ich möchte ein Paar Malware-Tests in einer VM durchführen. Bisher testete ich darin nur „saubere“ Anwendungen, um zu entscheiden, ob sie auf dem Produktivsystem installiert werden oder eben nicht. Bei Malware stellt sich diese Frage natürlich nicht... Ich habe aber drei andere:

1. Als Wirt-System dient Ubuntu 10.04, als Virtualisierungssoftware die neueste Version von VMWare Player. Getestet wird auf einem up-to-date Windows XP Pro x86. Die beiden Rechner sind über NAT miteinander verbunden, Freigaben sind deaktiviert. Nun die Frage: Sind weitere Einstellungen notwendig, um die VM richtig abzudichten und wenn ja, welche?

2. Ich weiß zwar, dass es zumindest theoretisch möglich ist, sich in der o.g. Konstellation durch solche Tests das Wirt-System zu beschädigen, aber in der Praxis? Gibt es denn (im Umlauf befindliche) Malware, die aus einer VM ausbrechen und ein Linux-OS beschädigen kann?

3. Wie verhält es sich, wenn als Wirt nicht Linux, sondern Windows arbeitet?

Vielen Dank!

Die von Dir genannte Konfiguration dürfte äußerst sicher sein.

Wenn Du paranoid bist und jedwedes Risiko einer Kontamination ausschließen willst, empfehle ich Dir, ein Image des Host-Systems zurückzuspielen, welches Du vor der Testsession angefertigt hast.

Danke für Deine Antwort. Also das mit dem Host-Image wäre mir bei mehreren Tests zu aufwendig.

Es gibt doch hier einige Nutzer, die des Öfteren solche Tests in einer VM durchführen. Mich würde interessieren, welche speziellen Einstellungen bei der Virtualisierungssoftware vorgenommen wurden, um dem Host abzusichern.

Gar keine Absicherung. Nur ein taugliches HIPS auf dem Host, welches überempfindlich reagiert. Wobei, es gibt genügend Malware, welche erkennt, dass sie in einer VM läuft und dementsprechend nüscht macht.

Hmm, aber das müsste man doch manuell anstoßen können... Ich denke da an so was:

Start, Ausführen, cmd
C:\Pfad\zur\Malware>ren malware.exe irgendwas.dll
C:\Pfad\zur\Malware>regsvr32 /c /s irgendwas.dll