Download aus Sandboxie "entkommen" nach SBIE2102 - Grund zur Sorge?
 

Hallo,

auf meinem erst kürzlich neu aufgesetzten Rechner (Win 7 x64 mit SP1) benutze ich Firefox 25.0.1 in Verbindung mit Sandboxie 4.06 (64 bit) zum Surfen.

Vor ein paar Tagen hatte ich einen seltsamen "Zwischenfall", den ich mir nicht erklären kann und der mich verunsichert, ob es ein Malware-Problem geben könnte:

Ich habe eine größere Datei (Grafiktreiber von der ASUS-Homepage, ca. 240 MB) mit einem gesandboxten Firefox in meinen Downloads-Ordner heruntergeladen. Nach Ende des Downloads kam nicht wie sonst das Quick Recovery-Window (ermöglicht es, die Datei direkt aus der Sandbox herauszuholen), sondern eine Fehlermeldung: "SBIE2102 File is too large to copy into sandbox - [Dateiname]". Nachdem ich diese weggeklickt hatte, habe ich in meinen (ungesandboxten) Download-Ordner geschaut und war sehr überrascht, dort die gerade heruntergeladene Datei (mit Zeitstempel von diesem Moment) zu finden - d.h. die heruntergeladene Datei hat offenbar die Sandbox verlassen, ohne dass ich das erlaubt hatte.

Ich habe im Sandboxie-Forum mein Problem geschildert, bisher aber noch keine Antwort erhalten. Das Problem scheint nicht oft aufzutauchen. Ich habe zwei alte Threads im Sandboxie-Forum gefunden (beide von 2011), in denen ein solches Problem auf die Verwendung eines zusätzlichen Download-Managers zurückgeführt wird. Allerdings habe ich keinen Download-Manager installiert, weder einen "externen" noch als ein Firefox-Add-On.

Nach dem Fehler habe ich den gesandboxten Firefox geschlossen und die Sandbox geleert. Nach einem anschließenden Neustart des gesandboxten Firefox konnte ich den Fehler nicht mehr reproduzieren, auch nicht mit deutlich größeren Dateien.

Eine weitere Vermutung von mir war, dass ein gleichzeitig laufender ungesandboxter Firefox das Problem verursacht haben könnte, indem der gesandboxte Firefox möglicherweise den internen Download-Manager des ungesandboxten Firefox genutzt hat o.Ä. - aber auch auf diesem Weg konnte ich das Problem nicht reproduzieren.

Scans mit Avast (Free) und MBAM (Free) fanden nichts. Außerdem habe ich mit FRST gescannt, allerdings kann ich mit den Logs nicht viel anfangen. (Alle diese Logs kann ich bei Bedarf anfügen.)

Die Tatsache, dass offenbar ein Download aus meinem Sandboxie "entkommen" ist, verunsichert mich sehr, vor allem, da die mögliche Erklärung "Download-Manager verwendet" bei mir nicht zutrifft. Daher würde ich mich über eine Einschätzung von euch "Experten" sehr freuen: Sollte ich das einmalige Auftreten dieses Fehlers als simplen Software-Bug betrachten und davon ausgehen, dass mein System sauber ist? Oder sehr ihr das eher als Grund zur Sorge an?

Allerbesten Dank im Voraus!

(Offenbar spinnen bei mir die URL-Tags, daher:
SBIE2102 :
hxxp://www.sandboxie.com/index.php?SBIE2102

Meine Anfrage im Sandboxie-Forum:
hxxp://www.sandboxie.com/phpbb/viewtopic.php?t=17101

Alte, ähnliche Anfragen im Sandboxie-Forum von 2011:
hxxp://www.sandboxie.com/phpbb/viewtopic.php?t=9860
hxxp://www.sandboxie.com/phpbb/viewtopic.php?t=10113


)

Hallo,

da seh ich keinerlei Anlass zur Sorge. Diese Anfrage ist im Sandboxieforum am besten aufgehoben. :)
Ich kann ja mal deine FRST-Logs auswerten, ob da alles in Ordnung ist oder etwas nicht passt. Füge diese einfach hier ein.

Hallo,

danke für die Einschätzung! :-)

(Ich habe gerade gemerkt - in eurer Anleitung wird empfohlen, FRST vom Desktop aus laufen zu lassen, bei mir lief es aus dem Downloads-Ordner. Kann die Scans ggf. wiederholen, falls sie so nicht aussagekräftig sind.)

FRST.txt ist leider extrem lang, da der Rechner ja noch ziemlich frisch aufgesetzt ist und daher alles aus den letzten 30 Tagen stammt... Deshalb ist es auch leider zu lang für die CODE-Tags ("besteht aus 272028 Zeichen und ist damit zu lang. ... Logs bitte als Archiv an den Beitrag anhängen!"). Daher dieses File gezippt im Anhang.

Addition.txt
(Die psi.exe-Fehler (PSI Secunia) hängen übrigens damit zusammen, dass die installierte Version mit dem IE 11 nicht zurechtkommt (Quelle: hxxp://secunia.com/community/forum/thread/show/14590/secunia_psi_has_stopped_working ) - die neue Version, bei der der Bug behoben ist, habe ich noch nicht installiert.)

Besten Dank im Voraus! :-)

Der Einfachkeit halber habe ich gerade entschieden, die FRST.txt einfach auf mehrere Beiträge aufzuteilen. :-]

Das wars, 3 Teile insgesamt.

Hi,

das sieht gut aus, weit und breit nichts von allfälliger Malware zu sehen.
Scheint irgendein Bug/Problem mit Sandboxie gewesen zu sein.
Mach dich nicht verrückt mit Malwaresorgen. Halte deine Software immer uptodate (speziell Browser und seine Plugins) und surfe und downloade vernünftig, dann bist du gut aufgestellt. :)

Hallo,

vielen Dank fürs Lesen!

Leider mache ich mir trotzdem noch etwas Sorgen - Sandboxie hat ja eigentlich den Hauptzweck, in der Sandbox laufende Programme und von ihnen erstellte/geladene Dateien nicht auf den Rest des Rechners "durchdringen" zu lassen. Wenn da dann doch was rauskommt, kommt bei mir sofort der Malware-Verdacht auf, weil das ja quasi die einzige Art Software ist, die bewusst versucht, aus einer Sandbox auszubrechen...

Aber seh ich das richtig: Du würdest weitere Sorgen jetzt eher als unbegründete Paranoia einschätzen und davon ausgehen, dass der Rechner sauber ist? :-]

Besten Dank!
Zanzica

Wir sprechen aber immer noch von einem heruntergeladenen ASUS Grafiktreiber, der ohne deine Zustimmung aus der Sandbox rausgekommen ist...?!
Sollte der Malware sein? Oder warum sollte Malware daran interessiert sein, diesen Treiber aus der Sandbox rauszuschmuggeln?
Das war offensichtlich einfach eine Fehlfunktion/Bug von Sandboxie. Vielleicht ist es ja sogar ein Bug, der theoretisch ausgenutzt werden könnte, mal schauen, was die Leute im Sandboxieforum dazu meinen. Aber dein konkreter Fall steht in keinem Zusammenhang mit Malware.

Übrigens ist der Sinn der Sandbox nicht in erster Linie, dass keine neuen Files dort rauskommen, sondern dass von Anwendungen innerhalb der Sandbox keine permanenten Veränderungen am bestehenden System (Dateien, Registry etc.) vorgenommen werden können.

Tu dir selbst einen Gefallen und suche nicht bei jedem Knacken im alten Holzhaus nach Gespenstern im Dachstock, das macht dich auf Dauer nur verrückt. :)

Ja. :-] Ich habe auch selbstverständlich nicht den ASUS-Grafiktreiber im Verdacht, und auch keine Treiber-schmuggelnde Malware... Eher eine, äh, abstrakte Vorstellung eines per Drive-by unabsichtlich installierten Download-Managers der irgendwie... äh... den Treiber mit heruntergeladen hat. Okay, wenn ichs so ausschreibe finde sogar ich das albern... ;-)

Mit dem Zweck der Sandbox hast du natürlich recht. Wobei das Speichern von neuen Dateien außerhalb der Sandbox ja auch eine gewisse Veränderung ist. Und eine Malware, die etwas aus der Sandbox rausschmuggeln könnte, könnte ja womöglich über die rausgeschmuggelten Dateien permanenten Einfluss auf das System nehmen... Also idealerweise kommt halt gar nix raus (ohne Erlaubnis), weder was neues (wie runtergeladene Dateien) noch Änderungen an bestehenden Dateien.

Danke fürs Einschätzen und Beruhigen, das ist für mich wirklich sehr viel wert! (Ich bin gerade zugegebenermaßen etwas paranoid in der Hinsicht, und ich halte dich als TB-Ausbilder für einen kompetenten Ansprechpartner :-) )