Treibjagd - Tools vereinfachen den Umgang mit Online-Scannern

Manchmal traut man dem Link zu einer Webseite oder einer zum Download angebotenen Datei nicht so recht über den Weg. Statt trotzdem drauf zu klicken, kann man Multiscannerdienste wie Virustotal befragen. Die liefern Scan-Ergebnisse und Beurteilungen zu einer Seite oder Datei -- mit den richtigen Tools sogar bevor eventueller Unrat auf dem eigenen System landet.

Der wohl populärste Multiscanner-Dienst VirusTotal testet eine Datei mit 42 Viren-Scannern auf eine Infektion. Im Normalfall lädt man eine verdächtige Datei auf den Rechner, ruft VirusTotal im Browser auf und lädt die Datei hoch. Doch zu dem Zeitpunkt hat man eventuell schon Ärger am Hals, weil die Seite oder die runtergeladene Datei Virenalarm ausgelöst – oder sogar irgendwie eine Schwachstelle im System getriggert hat. Mit den richtigen Tools lässt sich das vermeiden.

VirusTotal stellt die Plug-ins VTZilla für Firefox und VTchromizer für Chrome zur Verfügung, die die URL der zu untersuchenden Seite oder Datei an VirusTotal senden, die sie dann selber herunterladen. Dazu erweitern die Plug-ins das Kontextmenü des Browsers um den Punkt "Scan with VirusTotal". Um die Option beim Rechtsklick angeboten zu bekommen, muss nur der Mauszeiger über einem Link schweben.

Wählt man die Option, öffnet sich ein neues Browser-Fenster, in dem zunächst ein Prüfbericht der URL zu sehen ist. VirusTotal prüft mit sechs URL-Analyse-Tools von Firefox, G-Data, Google (Safebrowsing API), Opera, ParetoLogic und Phishtank, ob die URL in Zusammenhang mit Bedrohungen bereits bekannt ist. Auf diese Weise lässt sich vorab schon das Risiko des Besuchs einer Seite einschätzen.

Führte der Link zu einer download-baren Datei, lädt VirusTotal diese zusätzlich herunter und scannt sie. Im Kopf des URL-Prüfberichts findet man etwas versteckt die Option "Antivirus Report" mit dem Link "View downloaded file analysis". Erst ein Klick darauf zeigt das Ergebnis des Scans der Datei an.

Das Plug-in für Firefox integriert sich als zusätzliche Toolbar, für Chrome fügt es sich als unscheinbarer Button neben der Adresszeile ein. Beide Plug-ins bieten dort die Funktion "Scan current Site", mit der sich die URL der aktuell im Browser geöffnete Seite prüfen lässt. Ein Eingabefeld in der Toolbar erlaubt die direkte Eingabe und Prüfung weiterer URLs, sodass man nicht auf die aktuelle URL oder solche die als Link in der gerade geöffneten Seiten vorhanden sind, beschränkt ist.

Wählt man die Option, öffnet sich ein neues Browser-Fenster, in dem zunächst ein Prüfbericht der URL zu sehen ist. VirusTotal prüft mit sechs URL-Analyse-Tools von Firefox, G-Data, Google (Safebrowsing API), Opera, ParetoLogic und Phishtank, ob die URL in Zusammenhang mit Bedrohungen bereits bekannt ist. Auf diese Weise lässt sich vorab schon das Risiko des Besuchs einer Seite einschätzen.

Führte der Link zu einer download-baren Datei, lädt VirusTotal diese zusätzlich herunter und scannt sie. Im Kopf des URL-Prüfberichts findet man etwas versteckt die Option "Antivirus Report" mit dem Link "View downloaded file analysis". Erst ein Klick darauf zeigt das Ergebnis des Scans der Datei an.

Das Plug-in für Firefox integriert sich als zusätzliche Toolbar, für Chrome fügt es sich als unscheinbarer Button neben der Adresszeile ein. Beide Plug-ins bieten dort die Funktion "Scan current Site", mit der sich die URL der aktuell im Browser geöffnete Seite prüfen lässt. Ein Eingabefeld in der Toolbar erlaubt die direkte Eingabe und Prüfung weiterer URLs, sodass man nicht auf die aktuelle URL oder solche die als Link in der gerade geöffneten Seiten vorhanden sind, beschränkt ist.

Die Plug-ins erweitern die Browser zudem um eine weitere, auf den ersten Blick nicht sichtbare Funktion. Der Download-Dialog beim Klick auf einen Link bietet nun neben "Öffnen mit" und "Speichern" die Option "Datei Scannen". Ob man die Scan-Option beim Download einer Datei angeboten bekommt, hängt von der Endung beziehungsweise dem Dateitypen ab. Bei einer ausführbaren exe-Datei wird der Scan immer mit angeboten. Bei einer PDF-Datei etwa hängt das von der Integration des PDF-Viewers in den jeweiligen Browser ab. Wird das PDF-Dokument automatisch ohne Nachfrage im Firefox geöffnet beziehungsweise automatisch heruntergeladen und dann im PDF-Viewer geöffnet, muss man zunächst unter Extras/Einstellungen/Anwendungen die verknüpfte Aktion auf "Jedes mal nachfragen" setzen. Erst dann bekommt man den Dialog zu sehen und kann verhindern, dass ein PDF sich automatisch öffnet und Schaden anrichtet.
Bei Chrome fehlt leider eine Option zum Einstellen der Standard-Aktion. Dort lässt sich etwa das automatische Öffnen eines PDF-Dokuments nur verhindern, indem man das PDF-Plug-in über "about:plugins" deaktiviert.

Manchmal will man Dateien testen, die bereits auf der Festplatte oder einem externen Datenträger wie einem USB-Stick liegen. Das komfortable Hochladen unterstützt der VTUploader, der sich unter "Senden an" als neuer Punkt "VirusTotal" in das Kontextmenu des Windows Explorer integriert. Zur Anzeige der Ergebnisse öffnet sich sich zwar immer noch ein Browserfenster, der VTUploader erspart dem Anwender aber einige manuelle Schritte bis dahin. Startet man den VTUploader auf normale Art, so bietet er sogar eine Liste der gerade ausgeführten Prozesse, deren Binärdateien man zum Test hochladen kann.

Neben dem Browser-basierten Hochladen von Dateien unterstützt VirusTotal noch das Übertragen von Dateien und Empfangen von Reports über eine eigene API. Damit können eigene Skripte in Python, Perl, Ruby und PHP Dateien auf den Server hochladen und die Ergebnisse verarbeiten. Beispiele für verschiedene Implementierungen finden sich in der Dokumenation der API. Um die API zu nutzen, muss das Skript zwar einen für jeden Anwender eindeutigen Schlüssel mitsenden, den erhält man nach einer Registrierung jedoch kostenlos. Die API erlaubt 20 Anfragen in 5 Minuten.

Alternativen

Neben VirusTotal hat sich noch der Dienst Jotti einen Namen als Online-Multiscanner gemacht. Jotti erlaubt den Upload von Dateien bis zu 20 MByte, nutzt aber nur 20 Scanner (Linux-Versionen); Plug-ins oder ein spezielles API gibt es bislang nicht. Der Entwicker Jan Wester stellt jedoch das Upload-Tool JottiQ für Windows kostenlos zur Verfügung.

JottiQ arbeitet unabhängig von Browsern als eigenständiges Programm, in das man nach dem Start Dateien per Drag&Drop für einen Scan platzieren kann. Anders als bei den Plug-ins von VirusTotal muss die Datei aber bereits auf dem System vorhanden sein. Für jede eingefügte Datei wird der Status angezeigt, etwa wie weit der Upload fortgeschritten ist und ob der Server noch mit dem Scan beschäftigt ist. Zudem integriert sich JottiQ in das Kontext-Menu des Windows Explorer als "Scan with JottiQ". Beim Klick darauf startet dasTool mit der markierten Datei. Das Ergebnis zeigt JottiQ übersichtlich in einem Fenster an.


Noch eher unbekannt ist der Dienst NoVirusThanks (NVT), der Dateien offiziell mit 26 Scannern verschiedener Hersteller prüft. Hochgeladene Dateien dürfen bis zu 20 MByte groß sein. Im Test von heise Security lieferte NVT jedoch nur Ergebnisse von 16 Scannern zurück. Der Dienst bietet zum Hochladen ohne Browser das Windows-Tool "NoVirusThanks-Uploader", mit dem sich jedoch nur 5 MByte große Dateien prüfen lassen. Der Uploader liefert darüberhinaus eine Übersicht auf dem PC laufender Prozesse sowie weitere Informationen über das System.

Falsch gewogen

Ein fehlender Virenbefund auf VirusTotal, Jotti oder NVT ist keine Garantie, dass die Datei nicht doch bösartig ist. Das Problem aller genannten Dienste ist, dass sie weitgehend signaturbasiert arbeiten und insbesondere nicht das Verhalten einer Datei nach dem Start beobachten. Virenautoren feilen mit einigem Aufwand an ihren Schädlingen, um einer Erkennung durch solcge Signatur-Scans zu entgehen. Unsere Beobachtungen mit neuen Schädlingen zeigen nicht selten, dass keiner der ernst zu nehmenden Viren-Scanner Alarm schlägt.

ThreatExpert, von den Machern des Behavior Blocker ThreatFire, ist ein Online-Scanner, der das Verhalten einer Datei analysiert und bewertet. Der Upload ist auf 5 MByte begrenzt. ThreatExpert zeigt die Ergebnisse der Prüfung, die durchaus länger als 10 Minuten dauern kann, nicht sofort an. Vielmehr erhält man eine "Fertig"-Mail an eine zuvor angegebene Adresse, die den Link zum Bericht enthält. Doch Vorsicht: In Tests der Redaktion landeten derartige Benachrichtigungs-Mails leider auch schon mal im Spam-Ordner.

Ein Blick in den Bericht führt dann mitunter zum Aha-Effekt: Während auf VirusTotal etwa bei einer verdächtigen Datei nur drei eher exotische Produkte einen vagen Verdacht äußerten, wird ThreatExpert in seinem Bericht da schon deutlicher. Zusätzlich zur Einschätzung "Possible Security Risk" gibt es auch Details zum Verhalten des Programms. Das nistet sich via Registry im System ein, ruft Facebook- und MySpace-Profilseiten ab und meldet sich schließlich auch noch bei einem IRC-Server an. Man muss kein ausgewiesener Malware-Analyst sein, um das als Bot mit Fernsteuerung per IRC zu identifizieren.

ThreatExpert bietet das Submission Applet für Windows-Anwender an, mit dem sich ohne Browser eine Datei einsenden lässt. Den Report gibt es aber weiterhin nur online.

Die beschriebenen Tools ersetzen unter Windows aber auf keinen Fall einen installierten und aktiven Virenscanner. Nur dieser kann das System in Echtzeit schützen. Die Online-Scanner können aber immerhin helfen, das Risiko einer heruntergeladenen Datei besser einzuschätzen.

Quelle:Heise Security