Der Online-Dienst Virustotal scannt mit derzeit 69 verschiedenen Malware-Scanner hochgeladene Dateien auf digitale Schädlinge. Wahlweise können auch Webseiten auf Schädlinge wie Ransomware untersucht werden

Auf einem PC oder Notebook ist ein Malware-Scanner heutzutage ein “Muss”. Microsoft bringt in Windows mit dem Defender ein eigenes Produkt mit, das zwar nicht durch gute Erkennungsraten überzeugen kann (zeigen die Testergebnisse von AV-Test und AV-Comparatives immer wieder), aber immerhin im Hintergrund schon mal etwas aufpasst.

Vertrauen ist gut…

Deshalb wird immer empfohlen, sein Geld in einen kommeriellen Malware-Scanner von Kaspersky, Avira, G-Data, Avast und wie sie alle heißen, zu stecken. Jeder, der schonmal Opfer eines eingeschleusten Trojaners geworden ist (und wer ist das noch nicht – ob er es nun weiß oder nicht ;-), wird diese Empfehlung unterstreichen.

Denn diese Scanner geben sich große Mühe, in Echtzeit die Schadsoftware zu erkennen und daran zu hindern, ihr Unwerk zu verrichten.

Die meisten tun das mit großem und sogar sehr großem Erfolg, wie die regelmäßigen Vergleichsuntersuchungen von AV-Test und AV-Comparatives immer wieder ergeben. Trotzdem ist es eigentlich traurig, dass Betriebssysteme seit 30 Jahren so leicht zu kapern und (zer-)stören sind. Und es ist eigentlich nicht zu verstehen, warum man genötigt ist, Jahr für Jahr einen zwei- bis dreistelligen Betrag als eine Art Schutzgeld bezahlen zu müssen. Aber das ist eine andere Geschichte.

.. Kontrolle ist besser

Trotzdem bleibt immer ein Quentchen Unsicherheit, ob der eingesetzte Scanner auch wirklich sicher seine Aufgabe verrichtet. Abhilfe schafft hier der Online-Dienst “Virustotal”. Der Dienst bietet die Möglichkeit, eine Datei hochzuladen und mit mehr oder weniger allen am Markt verfügbaren Malware-Scannern testen zu lassen. Das sind im Moment um die 70 Scanner.

Zuerst wird jedoch ein Hash-Wert (also eine Art digitalem Fingerabdruck) erstellt, mit dem die Datei wiedererkannt werden kann. Denn die meisten Datein werden oft und von vielen Benutzern getestet. Werden sie mithilfe des Hash-Wertes wiedererkannt, sparrt sich Virustotal vielleicht eine Scandurchgang.

Nach wenigen Sekunden listet die Webseite einen Bericht auf, der zeigt, ob und wieviele Scanner in der Datei fündig geworden sind. Darüber hinaus zeigt der Bericht aber auch weitere interessante Informationen. Etwa, wann und wie oft eine Datei dieses Namens oder mit denselben Hash-Wert bereits hochgeladen wurd und welche Informationen aus der Datei ausgelesen werden können. Es ist zuweilen hochinteressant, was sich in einer Datei an Informationen verbirgt.

Masse schafft auch Unsicherheit

Interessant ist es, hier die Ergebnisse zu vergleichen. Es gibt in dieser Unzahl an Scannern die Platzhirsche, die mit überwiegend guten oder sehr guten Erkennungsraten punkten können. Und dann gibt es jene, die meistenteils gar keine oder positive Ergebnisse ausgeben, also keine Malware finden, obwohl sehr wahrscheinlich welche in einer Datei stecken.

Das schafft natürlich auch wieder Unsicherheit. Dem versucht Virustotal zu begegnen, indem es eine Art Schwellwert an Negativmeldungen (gefundene oder diagnostizierte Malware) festlegt, ab dem eine Datei als verdächtig eingestuft wird.

Gerade bei großen Dateien ist es jedoch etwas unpraktisch, diese zu Virustotal hochzuladen. VT bietet deshalb die Lösung, von der Datei einen Hashwert zu erstellen und mit dessen Hilfe in der Datenbank nach einem bekannten Scan zu suchen.

Was verbirgt sich hinter dieser Webseite

Ein weiterer Dienst von Virustotal ist der Check von Webseiten oder ganzen Domains. Die Seite wird mit allen Teilen geladen und auf versteckte und gefährliche Elemente untersucht. Das können kleine Programmteile, sogenannte Javascript-Elemente sein oder Schadcode in Bildern.

Was Virustotal nicht leistet, ist die Verfolgung der weitverzweigten Werbenetzwerke, die über eingebettete Links und Weiterleitungen in Javascript-Code nachgeladen werden. Das ist schade, würde den Dienst aber vermutlich überfordern.

Nützliche Helfer

Es ist natürlich ausnehmend praktisch, was Virustotal bietet. Noch praktischer ist jedoch, wenn man den Zugriff auf diesen Service etwas vereinfachen kann. Dazu gibt es eine ganze Reihe nützlicher Helferlein.

Eines ist HashTab. Das hat zwar nicht direkt mit VT zu tun, liefert aber über einen Reiter der Eigenschaften einer Datei (zu erreichen über die rechte Maustaste im Explorer) einen Hashwert in den üblichen ormaten SHA1, SHA256 und MD5. Der ist dann schnell in die Webseite von VT kopiert.

Will man doch die fragliche Datei hochladen, bietet sich eine Erweiterung von VT an. Sie integriert sich in das Auswahlmenü des Explorers, sodas die Datei mit einem Rechtsklick schnell zu VT hochgeladen werden kann.

Einen ähnlichen Service bietet VTzilla, eine Erweiterung für den Browser Firefox. VTzilla sendet via Rechtsklick den Link einer fragwürdigen Webseite, etwa aus der Suchliste, an VT. In der automatisch geöffneten Auswertung sieht man dann sofort, ob man besser nicht zu der fraglischen Webseite wechseln sollte.

Ein ganz weiteres Werkzeug ist Phrozensoft Winja. Das kleine Programm übernimmt die verschiedenen Arbeitsgänge und liefert das Scanergebnis in einem lokalen Fenster.

Auch mobil versorgt

Auch gibt es praktische Erweiterungen für Desktop-Betriebssysteme, mit denen schnell mal durch einen Rechtsklick auf eine Datei ihr Inhalt geprüft werden kann. Ein Dienstleister hat sogar eine App für Android-Smartphones programmiert, die alle dortigen Apps durch den Dienst testen läßt.

Fazit

Virustotal ist ein unverzichtbares Werkzeug für Menschen, die häufiger Programme und größere Datenbestände aus dem Internet herunterladen.

Man sollt aber auch hier immer im Hinterkopf behalten, dass man keine persönlichen Informationen (wie Text- oder Tabellendateien) unbedacht zu einem Webdienst hochlädt, auch wenn es so verlockend ist, diese mal eben auf Makroviren zu testen.

 

  • Pro: Fast vollständige Anzahl von Malware-Scannern im Bestand, ausführliche Informationen über Dateien und URLs, verschiedene Einbindungen in Betriebssysteme von Drittanbietern,
  • Contra: Als Online-Dienst nicht ohne Internet-Verbindung erreichbar, Nur suche nach Malware ohne Beseitigung, Daten landen auf den Servern des Dienstleisters.

 

Link: