Seite 2: Alternative Dienste

Inhaltsverzeichnis

Alternativen

Neben VirusTotal hat sich noch der Dienst Jotti einen Namen als Online-Multiscanner gemacht. Jotti erlaubt den Upload von Dateien bis zu 20 MByte, nutzt aber nur 20 Scanner (Linux-Versionen); Plug-ins oder ein spezielles API gibt es bislang nicht. Der Entwicker Jan Wester stellt jedoch das Upload-Tool JottiQ für Windows kostenlos zur Verfügung.

JottiQ arbeitet unabhängig von Browsern als eigenständiges Programm, in das man nach dem Start Dateien per Drag&Drop für einen Scan platzieren kann. Anders als bei den Plug-ins von VirusTotal muss die Datei aber bereits auf dem System vorhanden sein. Für jede eingefügte Datei wird der Status angezeigt, etwa wie weit der Upload fortgeschritten ist und ob der Server noch mit dem Scan beschäftigt ist. Zudem integriert sich JottiQ in das Kontext-Menu des Windows Explorer als "Scan with JottiQ". Beim Klick darauf startet dasTool mit der markierten Datei. Das Ergebnis zeigt JottiQ übersichtlich in einem Fenster an.

Noch eher unbekannt ist der Dienst NoVirusThanks (NVT), der Dateien offiziell mit 26 Scannern verschiedener Hersteller prüft. Hochgeladene Dateien dürfen bis zu 20 MByte groß sein. Im Test von heise Security lieferte NVT jedoch nur Ergebnisse von 16 Scannern zurück. Der Dienst bietet zum Hochladen ohne Browser das Windows-Tool "NoVirusThanks-Uploader", mit dem sich jedoch nur 5 MByte große Dateien prüfen lassen. Der Uploader liefert darüberhinaus eine Übersicht auf dem PC laufender Prozesse sowie weitere Informationen über das System.

Falsch gewogen

Ein fehlender Virenbefund auf VirusTotal, Jotti oder NVT ist keine Garantie, dass die Datei nicht doch bösartig ist. Das Problem aller genannten Dienste ist, dass sie weitgehend signaturbasiert arbeiten und insbesondere nicht das Verhalten einer Datei nach dem Start beobachten. Virenautoren feilen mit einigem Aufwand an ihren Schädlingen, um einer Erkennung durch solcge Signatur-Scans zu entgehen. Unsere Beobachtungen mit neuen Schädlingen zeigen nicht selten, dass keiner der ernst zu nehmenden Viren-Scanner Alarm schlägt.

ThreatExpert, von den Machern des Behavior Blocker ThreatFire, ist ein Online-Scanner, der das Verhalten einer Datei analysiert und bewertet. Der Upload ist auf 5 MByte begrenzt. ThreatExpert zeigt die Ergebnisse der Prüfung, die durchaus länger als 10 Minuten dauern kann, nicht sofort an. Vielmehr erhält man eine "Fertig"-Mail an eine zuvor angegebene Adresse, die den Link zum Bericht enthält. Doch Vorsicht: In Tests der Redaktion landeten derartige Benachrichtigungs-Mails leider auch schon mal im Spam-Ordner.

Ein Blick in den Bericht führt dann mitunter zum Aha-Effekt: Während auf VirusTotal etwa bei einer verdächtigen Datei nur drei eher exotische Produkte einen vagen Verdacht äußerten, wird ThreatExpert in seinem Bericht da schon deutlicher. Zusätzlich zur Einschätzung "Possible Security Risk" gibt es auch Details zum Verhalten des Programms. Das nistet sich via Registry im System ein, ruft Facebook- und MySpace-Profilseiten ab und meldet sich schließlich auch noch bei einem IRC-Server an. Man muss kein ausgewiesener Malware-Analyst sein, um das als Bot mit Fernsteuerung per IRC zu identifizieren.

ThreatExpert bietet das Submission Applet für Windows-Anwender an, mit dem sich ohne Browser eine Datei einsenden lässt. Den Report gibt es aber weiterhin nur online.

Die beschriebenen Tools ersetzen unter Windows aber auf keinen Fall einen installierten und aktiven Virenscanner. Nur dieser kann das System in Echtzeit schützen. Die Online-Scanner können aber immerhin helfen, das Risiko einer heruntergeladenen Datei besser einzuschätzen. (dab)