Praktische Tools für Online-Scanner
Traut man dem Link zu einer Webseite oder einer Datei nicht über den Weg, liefern Dienste wie Virustotal Scan-Ergebnisse und Beurteilungen -- mit den richtigen Tools sogar bevor eventueller Unrat auf dem eigenen System landet.
- Daniel Bachfeld
Der wohl populärste Multiscanner-Dienst VirusTotal testet eine Datei mit 42 Viren-Scannern auf eine Infektion. Im Normalfall lädt man eine verdächtige Datei auf den Rechner, ruft VirusTotal im Browser auf und lädt die Datei hoch. Doch zu dem Zeitpunkt hat man eventuell schon Ärger am Hals, weil die Seite oder die runtergeladene Datei Virenalarm ausgelöst – oder sogar irgendwie eine Schwachstelle im System getriggert hat. Mit den richtigen Tools lässt sich das vermeiden.
VirusTotal stellt die Plug-ins VTZilla für Firefox und VTchromizer für Chrome zur Verfügung, die die URL der zu untersuchenden Seite oder Datei an VirusTotal senden, die sie dann selber herunterladen. Dazu erweitern die Plug-ins das Kontextmenü des Browsers um den Punkt "Scan with VirusTotal". Um die Option beim Rechtsklick angeboten zu bekommen, muss nur der Mauszeiger über einem Link schweben.
Wählt man die Option, öffnet sich ein neues Browser-Fenster, in dem zunächst ein Prüfbericht der URL zu sehen ist. VirusTotal prüft mit sechs URL-Analyse-Tools von Firefox, G-Data, Google (Safebrowsing API), Opera, ParetoLogic und Phishtank, ob die URL in Zusammenhang mit Bedrohungen bereits bekannt ist. Auf diese Weise lässt sich vorab schon das Risiko des Besuchs einer Seite einschätzen.
Führte der Link zu einer download-baren Datei, lädt VirusTotal diese zusätzlich herunter und scannt sie. Im Kopf des URL-Prüfberichts findet man etwas versteckt die Option "Antivirus Report" mit dem Link "View downloaded file analysis". Erst ein Klick darauf zeigt das Ergebnis des Scans der Datei an.
Das Plug-in für Firefox integriert sich als zusätzliche Toolbar, für Chrome fügt es sich als unscheinbarer Button neben der Adresszeile ein. Beide Plug-ins bieten dort die Funktion "Scan current Site", mit der sich die URL der aktuell im Browser geöffnete Seite prüfen lässt. Ein Eingabefeld in der Toolbar erlaubt die direkte Eingabe und Prüfung weiterer URLs, sodass man nicht auf die aktuelle URL oder solche die als Link in der gerade geöffneten Seiten vorhanden sind, beschränkt ist.
Die Plug-ins erweitern die Browser zudem um eine weitere, auf den ersten Blick nicht sichtbare Funktion. Der Download-Dialog beim Klick auf einen Link bietet nun neben "Öffnen mit" und "Speichern" die Option "Datei Scannen". Ob man die Scan-Option beim Download einer Datei angeboten bekommt, hängt von der Endung beziehungsweise dem Dateitypen ab. Bei einer ausführbaren exe-Datei wird der Scan immer mit angeboten.
Bei einer PDF-Datei etwa hängt das von der Integration des PDF-Viewers in den jeweiligen Browser ab. Wird das PDF-Dokument automatisch ohne Nachfrage im Firefox geöffnet beziehungsweise automatisch heruntergeladen und dann im PDF-Viewer geöffnet, muss man zunächst unter Extras/Einstellungen/Anwendungen die verknüpfte Aktion auf "Jedes mal nachfragen" setzen. Erst dann bekommt man den Dialog zu sehen und kann verhindern, dass ein PDF sich automatisch öffnet und Schaden anrichtet.
Bei Chrome fehlt leider eine Option zum Einstellen der Standard-Aktion. Dort lässt sich etwa das automatische Öffnen eines PDF-Dokuments nur verhindern, indem man das PDF-Plug-in über "about:plugins" deaktiviert.
Manchmal will man Dateien testen, die bereits auf der Festplatte oder einem externen Datenträger wie einem USB-Stick liegen. Das komfortable Hochladen unterstützt der VTUploader, der sich unter "Senden an" als neuer Punkt "VirusTotal" in das Kontextmenu des Windows Explorer integriert. Zur Anzeige der Ergebnisse öffnet sich sich zwar immer noch ein Browserfenster, der VTUploader erspart dem Anwender aber einige manuelle Schritte bis dahin. Startet man den VTUploader auf normale Art, so bietet er sogar eine Liste der gerade ausgeführten Prozesse, deren Binärdateien man zum Test hochladen kann.
Neben dem Browser-basierten Hochladen von Dateien unterstützt VirusTotal noch das Übertragen von Dateien und Empfangen von Reports über eine eigene API. Damit können eigene Skripte in Python, Perl, Ruby und PHP Dateien auf den Server hochladen und die Ergebnisse verarbeiten. Beispiele für verschiedene Implementierungen finden sich in der Dokumenation der API. Um die API zu nutzen, muss das Skript zwar einen für jeden Anwender eindeutigen Schlüssel mitsenden, den erhält man nach einer Registrierung jedoch kostenlos. Die API erlaubt 20 Anfragen in 5 Minuten.