Online-Scanner VirusTotal jetzt mit Verhaltensanalyse

Der web-basierende Multi-Scanner VirusTotal führt eine Sandbox ein. Diese führt hochgeladene Dateien in einer geschützten Umgebung aus und informiert den Anwender über eventuelle Unregelmäßigkeiten.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 26 Beiträge
Von
  • Gerald Himmelein

Der Meta-Virenscanner VirusTotal erprobt derzeit eine Sandbox-Funktion, um Anwendern aussagekräftigere Ergebnisse zu präsentieren. Hierfür werden hochgeladene ausführbare Dateien in einer abgeschotteten Umgebung gestartet, um ihr Verhalten zu beobachten.

Eine Analyse des Verhaltens der hochgeladenen Datei erscheint unter den Scan-Ergebnissen in einem neuen Karteireiter mit dem Titel "Behavioural information". VirusTotal protokolliert Datei- und Registry-Zugriffe sowie neue Prozesse und Code-Einschleusungen. Darüber hinaus meldet VirusTotal, wenn Dateien direkte Befehle an Gerätetreiber gesendet haben.

Auf VirusTotal lassen sich verdächtige Dateien hochladen. Vierzig Scan-Engines unterschiedlicher Hersteller analysieren die Software daraufhin parallel auf verdächtige Bitmuster. Oft schlägt aber nur die Heuristik an – erkennbar an Ergebnissen, in denen die Bezeichnung Stichworte wie "Heur", "Suspicious oder "Generic" vorkommen. So geraten geraten mitunter auch unschuldige Programme unter Virenverdacht, ohne dass der Anwender eine Möglichkeit hätte, die tatsächliche Gefahr abzuschätzen.

Ein Restrisiko bleibt auch bei der Sandbox-Analyse: Einiger Trojaner überprüfen beim Start unauffällig, ob sie virtualisiert ausgeführt werden und verhalten sich dann ganz unschuldig. Erst auf einem realen Windows entfalten sie ihre Schadfunktion.

Derzeit erfolgt die Verhaltensanalyse zeitversetzt zur Virenanalyse durch die Scan-Engines. Berücksichtigt werden nur ausführbare Dateien kleiner als 8 MByte, die VirusTotal bisher unbekannt waren. Es lohnt sich also, die Seite mit den Ergebnissen offen zu lassen und sie immer mal wieder neu zu laden, um zu sehen, ob ein zusätzlicher Karteireiter hinzugekommen ist.

In einem Blog-Eintrag erklärt Emiliano Martinez von VirusTotal, die Verhaltensanalyse befinde sich noch in einem frühen Stadium und man gebe keine Garantie, dass hochgeladene Dateien den zusätzlichen Analysedurchgang durchlaufen. Zum Einsatz komme die quelloffene Cuckoo Sandbox von Claudio Guarnieri.

VirusTotal ist übrigens bei Weitem nicht die einzige Online-Sandbox: Anubis, MWAnalysis CWSandbox und ThreatExpert bieten schon seit längerem ähnliche Dienste. (ghi)