Antivirus
30.12.2013
Antivirus-Service
1. Teil: „10 Tipps zum Virenscan mit Virustotal“

10 Tipps zum Virenscan mit Virustotal

Autor:
Virustotal scannt Dateien nicht nur mit mehr als 40 Virenscannern, sondern prüft auch Prozesse, sucht nach Hashes und scannt Webseiten – man muss nur wissen wie.Virustotal scannt Dateien nicht nur mit mehr als 40 Virenscannern, sondern prüft auch Prozesse, sucht nach Hashes und scannt Webseiten – man muss nur wissen wie.Virustotal scannt Dateien nicht nur mit mehr als 40 Virenscannern, sondern prüft auch Prozesse, sucht nach Hashes und scannt Webseiten – man muss nur wissen wie.
Virustotal scannt Dateien nicht nur mit mehr als 40 Virenscannern, sondern prüft auch Prozesse, sucht nach Hashes und scannt Webseiten – man muss nur wissen wie.
Der kostenlose Online-Dienst Virustotal prüft Dateien mit mehr als 40 Virenscannern. Die Chance, auf diese Weise zum Beispiel in einer gerade aus dem Internet heruntergeladenen Datei einen Virus aufzuspüren, ist groß – deutlich größer, als würden Sie sich nur auf den auf dem PC installierten Virenscanner verlassen.

Datei hochladen

  • Virustotal: Der kostenlose Online-Dienst prüft Dateien mit mehr als 40 Virenscannern auf Schadcode, Viren und Trojaner.Virustotal: Der kostenlose Online-Dienst prüft Dateien mit mehr als 40 Virenscannern auf Schadcode, Viren und Trojaner.Virustotal: Der kostenlose Online-Dienst prüft Dateien mit mehr als 40 Virenscannern auf Schadcode, Viren und Trojaner.
     
    Virustotal: Der kostenlose Online-Dienst prüft Dateien mit mehr als 40 Virenscannern auf Schadcode, Viren und Trojaner.
Virustotal ist leicht zu bedienen: Rufen Sie die Seite www.virustotal.com/de auf und klicken Sie auf die Schaltfläche „Wählen Sie eine“. Es öffnet sich ein „Datei hochladen“-Dialog. Navigieren Sie zu der Datei, die Sie prüfen lassen möchten, und klicken Sie doppelt darauf. Zurück im Browserfenster klicken Sie dann auf „Scannen!“.
Bei Dateien, die Virustotal unbekannt sind, öffnet sich sofort das Analysefenster, in dem nach und nach die einzelnen Ergebnisse des Viren-Checks angezeigt werden.
Wenn bereits jemand genau diese Datei hochgeladen hat, dann sehen Sie die Meldung „Datei wurde bereits analysiert“. Sie haben nun die Wahl zwischen „Neu analysieren“ und „Zeige letzte Analyse“. Meist ist es am sinnvollsten, die Datei mit den aktuellen Virensignaturen noch einmal checken zu lassen.
Auf den folgenden Seiten lesen Sie, wie Sie das Virustotal-Ergebnis richtig interpretieren. 10 Tipps zu Virustotal zeigen zudem, was der kostenlose Online-Dienst außerdem noch leistet.
2. Teil: „Virustotal-Ergebnisse richtig interpretieren“

Virustotal-Ergebnisse richtig interpretieren

  • Viren-Check: Diese von Virustotal getestete Datei stufen 44 von 46 Virenscannern als Trojaner ein.Viren-Check: Diese von Virustotal getestete Datei stufen 44 von 46 Virenscannern als Trojaner ein.Viren-Check: Diese von Virustotal getestete Datei stufen 44 von 46 Virenscannern als Trojaner ein.
     
    Viren-Check: Diese von Virustotal getestete Datei stufen 44 von 46 Virenscannern als Trojaner ein.
Das Ergebnisfenster besteht aus mehreren Elementen: Oben steht zunächst ein Hash-Wert, der die Datei eindeutig identifiziert. Darunter stehen der „Dateiname“, die „Erkennungsrate“ und das „Analyse-Datum“.
Bei der Erkennungsrate zeigt die erste Zahl vor dem Schrägstrich, wie viele Scanner die Datei als gefährlich einstufen. Die Zahl hinter dem Schrägstrich ist die Gesamtzahl aller Antivirenprogramme, die Virustotal eingebunden hat.
Je höher die Zahl vor dem Schrägstrich ist, desto wahrscheinlicher handelt es sich um einen Schädling.

Vorsicht bei Meldungen wie „Generic“ oder „Suspicious“

Unter „Analyse“ stehen die Ergebnisse der einzelnen Tests. Findet ein Scanner keinen Schädling, sehen Sie in der Liste ein grünes Häkchen. Erkennt der Scanner dagegen einen Virus, dann finden Sie in der Spalte „Ergebnis“ den Namen des Schädlings.
Weil sich die Hersteller nicht auf eine gemeinsame Nomenklatur einigen können, stehen dort oft unterschiedliche Bezeichnungen. Begriffe wie „Generic“ oder „Suspicious“ besagen, dass der jeweilige Virenscanner zwar keinen Treffer in seiner Signaturdatenbank gefunden hat, die Datei aber für verdächtig hält.
  • File detail: Hier erfahren Sie unter anderem, ob ein Packer benutzt wurde und ob sich jemand als „Publisher“ der Datei eingetragen hat.File detail: Hier erfahren Sie unter anderem, ob ein Packer benutzt wurde und ob sich jemand als „Publisher“ der Datei eingetragen hat.File detail: Hier erfahren Sie unter anderem, ob ein Packer benutzt wurde und ob sich jemand als „Publisher“ der Datei eingetragen hat.
     
    File detail: Hier erfahren Sie unter anderem, ob ein Packer benutzt wurde und ob sich jemand als „Publisher“ der Datei eingetragen hat.
Unter „File detail“ erfahren Sie etwa, ob sich jemand als „Publisher“ der Datei eingetragen hat. Außerdem steht hier, ob und welcher Packer benutzt wurde. Die Entwickler von Viren verwenden spezielle Packer für ausführbare Dateien wie UPX, um ihre Viren vor Virenscannern zu verbergen.
Unter „Zusätzliche Informationen“ stehen Infos wie verschiedene Hash-Werte, die Dateigröße und wann die Datei zum ersten Mal bei Virustotal hochgeladen wurde. Zu manchen Dateien finden sich außerdem Kommentare oder Bewertungen anderer Virustotal-Nutzer.
Die von Virustotal eingebundenen Scanner vergleichen die hochgeladenen Dateien mit Signaturen. Seit einiger Zeit blendet Virustotal bei manchen Dateien auch einen Reiter „Verhaltens-Informationen“ ein. Das heißt, diese Datei wurde in einer Sandbox ausgeführt und dort getestet. Eine Sandbox ist eine abgesicherte Umgebung, in der das Verhalten einer Datei beobachtet und aufgezeichnet wird.
3. Teil: „Virustotal-Uploader, Prozesse und Dienste“

Virustotal-Uploader, Prozesse und Dienste

Virustotal kann mehr als nur einzelne Dateien scannen. Lassen Sie beispielsweise Windows-Prozesse von dem Dienst prüfen, suchen Sie mit Hashes nach Schädlingen und sparen Sie sich so den Upload oder scannen Sie URLs. Wie das funktioniert, das lesen Sie in den folgenden 10 Tipps zu Virustotal.

1. Phrozensoft Virustotal Uploader

  • Phrozensoft Virustotal Uploader: Ziehen Sie eine Datei mit der Maus in das Fenster, um sie bei Virustotal hochzuladen.Phrozensoft Virustotal Uploader: Ziehen Sie eine Datei mit der Maus in das Fenster, um sie bei Virustotal hochzuladen.Phrozensoft Virustotal Uploader: Ziehen Sie eine Datei mit der Maus in das Fenster, um sie bei Virustotal hochzuladen.
     
    Phrozensoft Virustotal Uploader: Ziehen Sie eine Datei mit der Maus in das Fenster, um sie bei Virustotal hochzuladen.
Das kostenlose Tool Phrozensoft Virustotal Uploader erleichtert den Upload von Dateien zu Virustotal und ermöglicht das Scannen von Prozessen und Diensten.
Installieren und starten Sie Phrozensoft Virustotal Uploader. Ziehen Sie dann verdächtige Dateien mit der Maus in das Programmfenster. Sofort lädt das Tool die Datei hoch.
Wechseln Sie nach dem Upload zu „Available Results“ und klicken Sie doppelt auf ein Ergebnis. Ein weiteres Fenster öffnet sich, das die Rückmeldungen der Scanner zeigt.
  • Virus gefunden: Ein Check mit Phrozensoft Virustotal Uploader zeigt, dass diese Datei verseucht ist.Virus gefunden: Ein Check mit Phrozensoft Virustotal Uploader zeigt, dass diese Datei verseucht ist.Virus gefunden: Ein Check mit Phrozensoft Virustotal Uploader zeigt, dass diese Datei verseucht ist.
     
    Virus gefunden: Ein Check mit Phrozensoft Virustotal Uploader zeigt, dass diese Datei verseucht ist.
Wenn Sie das Ergebnis lieber auf der Virustotal-Seite sehen wollen, dann klicken Sie auf „Open on virustotal.com“.

2. Prozesse und Dienste checken

 Phrozensoft Virustotal Uploader prüft auch aktive Prozesse auf Ihrem PC auf Virenbefall.
Rufen Sie dazu in dem Programm „Tools, Process Explorer“ auf. Setzen Sie anschließend Häkchen vor jedem Prozess, den Sie auf Virenbefall prüfen lassen wollen.
Klicken Sie dann mit der rechten Maustaste irgendwo in das Fenster und wählen Sie „Submit Checked, Ja“ aus. Systemprozesse von Windows sind allerdings gesperrt und lassen sich nicht hochladen.
  • Prozesse checken: Setzen Sie Häkchen vor verdächtigen Prozessen und laden Sie die zugehörige Datei per Rechtsklick und „Submit Checked“ bei Virustotal hoch.Prozesse checken: Setzen Sie Häkchen vor verdächtigen Prozessen und laden Sie die zugehörige Datei per Rechtsklick und „Submit Checked“ bei Virustotal hoch.Prozesse checken: Setzen Sie Häkchen vor verdächtigen Prozessen und laden Sie die zugehörige Datei per Rechtsklick und „Submit Checked“ bei Virustotal hoch.
     
    Prozesse checken: Setzen Sie Häkchen vor verdächtigen Prozessen und laden Sie die zugehörige Datei per Rechtsklick und „Submit Checked“ bei Virustotal hoch.
Auf die gleiche Weise prüfen Sie mit „Program Startup“ automatisch startende Programme, mit „Program Services“ Dienste und mit „Active Connections“ aktive Netzwerkverbindungen.

3. Dateien ohne Download checken

Sie brauchen eine Datei nicht erst auf Ihren PC herunterzuladen, um sie dann wieder bei Virustotal hochzuladen und dort auf Viren prüfen zu lassen. Virustotal übernimmt auf Wunsch die ganze Prozedur für Sie.
Installieren Sie zunächst das kostenlose Tool Virustotal Uploader . Das Programm heißt genauso wie das von Phrozensoft, wurde aber von Virustotal selbst entwickelt.
Kopieren Sie nach der Installation den Link zu der Datei in die Zwischenablage. In Firefox klicken Sie dazu mit der rechten Maustaste auf den Download-Link und wählen „Link-Adresse kopieren…“ aus. Starten Sie Virustotal Uploader dann und klicken Sie mit der rechten Maustaste in das Feld „URL“. Wählen Sie „Einfügen“ aus. Klicken Sie dann auf „Get and Upload“.
Das Tool lädt die Datei nun, speichert sie aber nicht auf Ihrer Festplatte. Klicken Sie auf „Options“, um zum Beispiel einzustellen, dass die verdächtigen Downloads in einem speziellen Ordner gespeichert werden sollen.

4. Upload per Rechtsklick

Sie müssen nicht den Umweg über die Webseite gehen, um eine Datei bei Virustotal hochzuladen. Sowohl Phrozensoft Virustotal Uploader als auch Virustotal Uploader integrieren sich in das Kontextmenü des Windows-Explorers.
Die Integration von Virustotal Uploader ist etwas besser gelungen, weil Sie beim Upload kein Fenster der Benutzerkontensteuerung von Windows bestätigen müssen: Klicken Sie mit der rechten Maustaste auf eine Datei und wählen Sie „Senden an, VirusTotal“ aus. Es öffnet sich ein kleines Upload-Fenster, das zeigt, wie die Datei hochgeladen wird. Ist der Upload fertig, öffnet sich automatisch ein Browserfenster mit dem Ergebnis.
4. Teil: „Mit Hashes suchen und URL-Scans mit Virustotal“

Mit Hashes suchen und URL-Scans mit Virustotal

5. Mit Hashes suchen

  • Hash Tab: Das Tool berechnet Hash-Werte. Nach diesen können Sie dann bei Virustotal suchen, ohne die Datei hochzuladen.Hash Tab: Das Tool berechnet Hash-Werte. Nach diesen können Sie dann bei Virustotal suchen, ohne die Datei hochzuladen.Hash Tab: Das Tool berechnet Hash-Werte. Nach diesen können Sie dann bei Virustotal suchen, ohne die Datei hochzuladen.
     
    Hash Tab: Das Tool berechnet Hash-Werte. Nach diesen können Sie dann bei Virustotal suchen, ohne die Datei hochzuladen.
Ein Datei-Hash ist eine Zeichenfolge, mit der sich jede Datei eindeutig identifizieren lässt. So lautet beispielsweise der MD5-Hash für die verseuchte Datei „admsys.exe“ wie folgt: „776c6f203bcbecbd7d52ad060ed87bcc“.
Statt eine Datei bei Virustotal hochzuladen, können Sie dort auch den Hash-Wert eingeben. Gerade bei großen Dateien ist das ein nützliches Verfahren.
Rufen Sie die Webseite von Virustotal auf und klicken Sie unter der Schaltfläche „Scannen!“ auf den Link „suchen“. Geben Sie den Hash-Wert in das Feld „Bedingung“ ein und klicken Sie dann auf den „Suchen!“-Button.
Der Online-Dienst prüft daraufhin, ob er die Datei schon einmal getestet hat, und zeigt Ihnen anschließend das Ergebnis an.
  • URLs scannen: Meiden Sie Webseiten, die Virustotal als „Suspicious site“ oder „Malicious site“ einstuft.URLs scannen: Meiden Sie Webseiten, die Virustotal als „Suspicious site“ oder „Malicious site“ einstuft.URLs scannen: Meiden Sie Webseiten, die Virustotal als „Suspicious site“ oder „Malicious site“ einstuft.
     
    URLs scannen: Meiden Sie Webseiten, die Virustotal als „Suspicious site“ oder „Malicious site“ einstuft.
Hash-Werte berechnen Sie beispielsweise mit dem kostenlosen Tool HashTab. Klicken Sie nach der Installation des Tools mit der rechten Maustaste auf eine Datei und wählen Sie „Eigenschaften“ aus. Wechseln Sie zu „Hashwerte“. Markieren Sie die Zeile „MD5“ und drücken Sie [Strg V], um den Hash-Wert in die Zwischenablage zu kopieren.

6. URLs scannen

Virustotal prüft nicht nur Dateien, sondern auch Webseiten auf gefährliche Inhalte. Um eine URL zu scannen, rufen Sie die Virustotal-Webseite auf und klicken auf „eine URL scannen“.
Geben Sie den Link ein und klicken Sie dann auf „Scannen!“. Auch bei diesem Dienst hat Virustotal zahlreiche Online-Scanner integriert.
  • VTzilla: Klicken Sie mit der rechten Maustaste auf einen Link und lassen Sie die verlinkte Seite von Virustotal prüfen.VTzilla: Klicken Sie mit der rechten Maustaste auf einen Link und lassen Sie die verlinkte Seite von Virustotal prüfen.VTzilla: Klicken Sie mit der rechten Maustaste auf einen Link und lassen Sie die verlinkte Seite von Virustotal prüfen.
     
    VTzilla: Klicken Sie mit der rechten Maustaste auf einen Link und lassen Sie die verlinkte Seite von Virustotal prüfen.
Sie sollten eine Seite meiden, die die Scanner als „Suspicious site“ oder „Malicious site“ einstufen. Klicken Sie auf „Zusätzliche Informationen“, um die Gründe für die einzelnen Warnungen zu erfahren.

7. VTzilla

VTzilla ist eine kostenlose Virustotal-Erweiterung für den Browser Firefox, die verlinkte Webseiten prüft. Klicken Sie nach der Installation mit der rechten Maustaste auf einen Link im Browser und wählen Sie „Scan with VirusTotal“ aus. Das Add-on öffnet einen neuen Tab, der das Ergebnis des Scans zeigt.
VTzilla erweitert außerdem noch den Download-Dialog von Firefox um die Option, eine Datei mit Virustotal zu testen.
5. Teil: „IP checken und Virustotal per Mail oder App nutzen“

IP checken und Virustotal per Mail oder App nutzen

8. IP-Adressen checken

  • IP-Adressen checken: Mit Virustotal finden Sie auch heraus, ob eine IP-Adresse besser gemieden werden sollte. Die Liste zeigt Trojaner, die mit der IP-Adresse Kontakt aufnehmen wollten.IP-Adressen checken: Mit Virustotal finden Sie auch heraus, ob eine IP-Adresse besser gemieden werden sollte. Die Liste zeigt Trojaner, die mit der IP-Adresse Kontakt aufnehmen wollten.IP-Adressen checken: Mit Virustotal finden Sie auch heraus, ob eine IP-Adresse besser gemieden werden sollte. Die Liste zeigt Trojaner, die mit der IP-Adresse Kontakt aufnehmen wollten.
     
    IP-Adressen checken: Mit Virustotal finden Sie auch heraus, ob eine IP-Adresse besser gemieden werden sollte. Die Liste zeigt Trojaner, die mit der IP-Adresse Kontakt aufnehmen wollten.
Zu jeder IP-Adresse, die Virustotal bekannt ist, sammelt das Unternehmen Daten. So lässt sich zum Beispiel leicht herausfinden, ob Trojaner versucht haben, mit dieser IP-Adresse Kontakt aufzunehmen.
Rufen Sie www.virustotal.com/de/#search auf und geben Sie die IP-Adresse ein. Klicken Sie dann auf „Suchen!“. Wenn bei „Latest detected files that communicate with this IP address“ viele Ergebnisse auftauchen, handelt es sich vermutlich um eine gefährliche Seite.

9. Dateien per E-Mail prüfen

Virustotal bietet auch die Option, Dateien zu scannen, die Sie per E-Mail einsenden. Sie erhalten das Ergebnis der Virensuche dann ebenfalls per E-Mail. Verfassen Sie eine E-Mail an den Empfänger scan@virustotal.com, schreiben Sie SCAN in den Betreff und hängen Sie die Datei an die Nachricht.
Der Anhang darf nicht größer als 32 MByte sein. Das Einsenden per E-Mail funktioniert allerdings nicht immer: Viele E-Mail-Provider haben inzwischen selbst Virenscanner auf ihren Mail-Servern installiert, die verseuchte Mails ablehnen.

10. Virustotal als Android-App

  • Android-App: Die Virustotal-App prüft alle auf dem Smartphone installierten Apps. Rote Männchen zeigen gefährliche Apps.Android-App: Die Virustotal-App prüft alle auf dem Smartphone installierten Apps. Rote Männchen zeigen gefährliche Apps.Android-App: Die Virustotal-App prüft alle auf dem Smartphone installierten Apps. Rote Männchen zeigen gefährliche Apps.
     
    Android-App: Die Virustotal-App prüft alle auf dem Smartphone installierten Apps. Rote Männchen zeigen gefährliche Apps.
Virustotal bietet auch eine kostenlose Android-App an, die alle Apps auf Ihrem Smartphone auf Befall mit einem Schädling testet. Suchen Sie in Google Play nach Virustotal und installieren Sie die App auf Ihrem Handy.
Starten Sie die App und warten Sie einen Moment, während Virustotal die Liste der installierten Anwendungen prüft. Als Ergebnis bekommen Sie zwei Listen zu sehen, einmal „User Apps“ mit den von Ihnen installierten Apps und „System Apps“ mit den vorinstallierten Apps.
Ein grünes Android-Männchen zeigt, dass die App sauber ist, während ein rotes Männchen auf eine Gefahr hinweist. Tippen Sie mit dem Finger auf einen Eintrag, um ein ausführlicheres Ergebnis zu sehen.

mehr zum Thema

Bad News

Game macht Fake News spielerisch erkennbar

Wissenschaftler der Universität Uppsala haben ihr Online-Spiel "Bad News" erfolgreich an 516 Schülern getestet. Es soll helfen, manipulative Techniken in Social-Media-Posts zu erkennen. >>
Tools

GitLab Duo Chat mit KI-Chat-Unterstützung

Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows. >>
Cyberbedrohungen überall

IT-Sicherheit unter der Lupe

Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch. >>
WebGPU

Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte

Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen. >>