30.12.2013
Antivirus-Service
1. Teil: „10 Tipps zum Virenscan mit Virustotal“
10 Tipps zum Virenscan mit Virustotal
Autor: Andreas Fischer
Virustotal scannt Dateien nicht nur mit mehr als 40 Virenscannern, sondern prüft auch Prozesse, sucht nach Hashes und scannt Webseiten – man muss nur wissen wie.
Der kostenlose Online-Dienst Virustotal prüft Dateien mit mehr als 40 Virenscannern. Die Chance, auf diese Weise zum Beispiel in einer gerade aus dem Internet heruntergeladenen Datei einen Virus aufzuspüren, ist groß – deutlich größer, als würden Sie sich nur auf den auf dem PC installierten Virenscanner verlassen.
Datei hochladen
www.virustotal.com/de auf und klicken Sie auf die Schaltfläche „Wählen Sie eine“. Es öffnet sich ein „Datei hochladen“-Dialog. Navigieren Sie zu der Datei, die Sie prüfen lassen möchten, und klicken Sie doppelt darauf. Zurück im Browserfenster klicken Sie dann auf „Scannen!“.
Virustotal ist leicht zu bedienen: Rufen Sie die Seite Bei Dateien, die Virustotal unbekannt sind, öffnet sich sofort das Analysefenster, in dem nach und nach die einzelnen Ergebnisse des Viren-Checks angezeigt werden.
Wenn bereits jemand genau diese Datei hochgeladen hat, dann sehen Sie die Meldung „Datei wurde bereits analysiert“. Sie haben nun die Wahl zwischen „Neu analysieren“ und „Zeige letzte Analyse“. Meist ist es am sinnvollsten, die Datei mit den aktuellen Virensignaturen noch einmal checken zu lassen.
Auf den folgenden Seiten lesen Sie, wie Sie das Virustotal-Ergebnis richtig interpretieren. 10 Tipps zu Virustotal zeigen zudem, was der kostenlose Online-Dienst außerdem noch leistet.
2. Teil: „Virustotal-Ergebnisse richtig interpretieren“
Virustotal-Ergebnisse richtig interpretieren
Bei der Erkennungsrate zeigt die erste Zahl vor dem Schrägstrich, wie viele Scanner die Datei als gefährlich einstufen. Die Zahl hinter dem Schrägstrich ist die Gesamtzahl aller Antivirenprogramme, die Virustotal eingebunden hat.
Je höher die Zahl vor dem Schrägstrich ist, desto wahrscheinlicher handelt es sich um einen Schädling.
Vorsicht bei Meldungen wie „Generic“ oder „Suspicious“
Unter „Analyse“ stehen die Ergebnisse der einzelnen Tests. Findet ein Scanner keinen Schädling, sehen Sie in der Liste ein grünes Häkchen. Erkennt der Scanner dagegen einen Virus, dann finden Sie in der Spalte „Ergebnis“ den Namen des Schädlings.
Weil sich die Hersteller nicht auf eine gemeinsame Nomenklatur einigen können, stehen dort oft unterschiedliche Bezeichnungen. Begriffe wie „Generic“ oder „Suspicious“ besagen, dass der jeweilige Virenscanner zwar keinen Treffer in seiner Signaturdatenbank gefunden hat, die Datei aber für verdächtig hält.
Unter „Zusätzliche Informationen“ stehen Infos wie verschiedene Hash-Werte, die Dateigröße und wann die Datei zum ersten Mal bei Virustotal hochgeladen wurde. Zu manchen Dateien finden sich außerdem Kommentare oder Bewertungen anderer Virustotal-Nutzer.
Die von Virustotal eingebundenen Scanner vergleichen die hochgeladenen Dateien mit Signaturen. Seit einiger Zeit blendet Virustotal bei manchen Dateien auch einen Reiter „Verhaltens-Informationen“ ein. Das heißt, diese Datei wurde in einer Sandbox ausgeführt und dort getestet. Eine Sandbox ist eine abgesicherte Umgebung, in der das Verhalten einer Datei beobachtet und aufgezeichnet wird.
3. Teil: „Virustotal-Uploader, Prozesse und Dienste“
Virustotal-Uploader, Prozesse und Dienste
Virustotal kann mehr als nur einzelne Dateien scannen. Lassen Sie beispielsweise Windows-Prozesse von dem Dienst prüfen, suchen Sie mit Hashes nach Schädlingen und sparen Sie sich so den Upload oder scannen Sie URLs. Wie das funktioniert, das lesen Sie in den folgenden 10 Tipps zu Virustotal.
1. Phrozensoft Virustotal Uploader
Phrozensoft Virustotal Uploader erleichtert den Upload von Dateien zu Virustotal und ermöglicht das Scannen von Prozessen und Diensten.
Das kostenlose Tool Installieren und starten Sie Phrozensoft Virustotal Uploader. Ziehen Sie dann verdächtige Dateien mit der Maus in das Programmfenster. Sofort lädt das Tool die Datei hoch.
Wechseln Sie nach dem Upload zu „Available Results“ und klicken Sie doppelt auf ein Ergebnis. Ein weiteres Fenster öffnet sich, das die Rückmeldungen der Scanner zeigt.
2. Prozesse und Dienste checken
Phrozensoft Virustotal Uploader prüft auch aktive Prozesse auf Ihrem PC auf Virenbefall.
Rufen Sie dazu in dem Programm „Tools, Process Explorer“ auf. Setzen Sie anschließend Häkchen vor jedem Prozess, den Sie auf Virenbefall prüfen lassen wollen.
Klicken Sie dann mit der rechten Maustaste irgendwo in das Fenster und wählen Sie „Submit Checked, Ja“ aus. Systemprozesse von Windows sind allerdings gesperrt und lassen sich nicht hochladen.
3. Dateien ohne Download checken
Sie brauchen eine Datei nicht erst auf Ihren PC herunterzuladen, um sie dann wieder bei Virustotal hochzuladen und dort auf Viren prüfen zu lassen. Virustotal übernimmt auf Wunsch die ganze Prozedur für Sie.
Installieren Sie zunächst das kostenlose Tool Virustotal Uploader . Das Programm heißt genauso wie das von Phrozensoft, wurde aber von Virustotal selbst entwickelt.
Kopieren Sie nach der Installation den Link zu der Datei in die Zwischenablage. In Firefox klicken Sie dazu mit der rechten Maustaste auf den Download-Link und wählen „Link-Adresse kopieren…“ aus. Starten Sie Virustotal Uploader dann und klicken Sie mit der rechten Maustaste in das Feld „URL“. Wählen Sie „Einfügen“ aus. Klicken Sie dann auf „Get and Upload“.
Das Tool lädt die Datei nun, speichert sie aber nicht auf Ihrer Festplatte. Klicken Sie auf „Options“, um zum Beispiel einzustellen, dass die verdächtigen Downloads in einem speziellen Ordner gespeichert werden sollen.
4. Upload per Rechtsklick
Sie müssen nicht den Umweg über die Webseite gehen, um eine Datei bei Virustotal hochzuladen. Sowohl Phrozensoft Virustotal Uploader als auch Virustotal Uploader integrieren sich in das Kontextmenü des Windows-Explorers.
Die Integration von Virustotal Uploader ist etwas besser gelungen, weil Sie beim Upload kein Fenster der Benutzerkontensteuerung von Windows bestätigen müssen: Klicken Sie mit der rechten Maustaste auf eine Datei und wählen Sie „Senden an, VirusTotal“ aus. Es öffnet sich ein kleines Upload-Fenster, das zeigt, wie die Datei hochgeladen wird. Ist der Upload fertig, öffnet sich automatisch ein Browserfenster mit dem Ergebnis.
4. Teil: „Mit Hashes suchen und URL-Scans mit Virustotal“
Mit Hashes suchen und URL-Scans mit Virustotal
5. Mit Hashes suchen
Statt eine Datei bei Virustotal hochzuladen, können Sie dort auch den Hash-Wert eingeben. Gerade bei großen Dateien ist das ein nützliches Verfahren.
Rufen Sie die Webseite von Virustotal auf und klicken Sie unter der Schaltfläche „Scannen!“ auf den Link „suchen“. Geben Sie den Hash-Wert in das Feld „Bedingung“ ein und klicken Sie dann auf den „Suchen!“-Button.
Der Online-Dienst prüft daraufhin, ob er die Datei schon einmal getestet hat, und zeigt Ihnen anschließend das Ergebnis an.
HashTab. Klicken Sie nach der Installation des Tools mit der rechten Maustaste auf eine Datei und wählen Sie „Eigenschaften“ aus. Wechseln Sie zu „Hashwerte“. Markieren Sie die Zeile „MD5“ und drücken Sie [Strg V], um den Hash-Wert in die Zwischenablage zu kopieren.
Hash-Werte berechnen Sie beispielsweise mit dem kostenlosen Tool 6. URLs scannen
Virustotal prüft nicht nur Dateien, sondern auch Webseiten auf gefährliche Inhalte. Um eine URL zu scannen, rufen Sie die Virustotal-Webseite auf und klicken auf „eine URL scannen“.
Geben Sie den Link ein und klicken Sie dann auf „Scannen!“. Auch bei diesem Dienst hat Virustotal zahlreiche Online-Scanner integriert.
7. VTzilla
VTzilla ist eine kostenlose Virustotal-Erweiterung für den Browser Firefox, die verlinkte Webseiten prüft. Klicken Sie nach der Installation mit der rechten Maustaste auf einen Link im Browser und wählen Sie „Scan with VirusTotal“ aus. Das Add-on öffnet einen neuen Tab, der das Ergebnis des Scans zeigt.
VTzilla erweitert außerdem noch den Download-Dialog von Firefox um die Option, eine Datei mit Virustotal zu testen.
5. Teil: „IP checken und Virustotal per Mail oder App nutzen“
IP checken und Virustotal per Mail oder App nutzen
8. IP-Adressen checken
Rufen Sie www.virustotal.com/de/#search auf und geben Sie die IP-Adresse ein. Klicken Sie dann auf „Suchen!“. Wenn bei „Latest detected files that communicate with this IP address“ viele Ergebnisse auftauchen, handelt es sich vermutlich um eine gefährliche Seite.
9. Dateien per E-Mail prüfen
Virustotal bietet auch die Option, Dateien zu scannen, die Sie per E-Mail einsenden. Sie erhalten das Ergebnis der Virensuche dann ebenfalls per E-Mail. Verfassen Sie eine E-Mail an den Empfänger scan@virustotal.com, schreiben Sie SCAN in den Betreff und hängen Sie die Datei an die Nachricht.
Der Anhang darf nicht größer als 32 MByte sein. Das Einsenden per E-Mail funktioniert allerdings nicht immer: Viele E-Mail-Provider haben inzwischen selbst Virenscanner auf ihren Mail-Servern installiert, die verseuchte Mails ablehnen.
10. Virustotal als Android-App
Virustotal und installieren Sie die App auf Ihrem Handy.
Virustotal bietet auch eine kostenlose Android-App an, die alle Apps auf Ihrem Smartphone auf Befall mit einem Schädling testet. Suchen Sie in Google Play nach Starten Sie die App und warten Sie einen Moment, während Virustotal die Liste der installierten Anwendungen prüft. Als Ergebnis bekommen Sie zwei Listen zu sehen, einmal „User Apps“ mit den von Ihnen installierten Apps und „System Apps“ mit den vorinstallierten Apps.
Ein grünes Android-Männchen zeigt, dass die App sauber ist, während ein rotes Männchen auf eine Gefahr hinweist. Tippen Sie mit dem Finger auf einen Eintrag, um ein ausführlicheres Ergebnis zu sehen.
Bad News
Game macht Fake News spielerisch erkennbar
Wissenschaftler der Universität Uppsala haben ihr Online-Spiel "Bad News" erfolgreich an 516 Schülern getestet. Es soll helfen, manipulative Techniken in Social-Media-Posts zu erkennen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>