Online-Schädlingsanalyse I: Virustotal

Mittlerweile gibt es eine ganze Reihe von Online-Diensten, mit denen sich eine verdächtige Datei schnell und unkompliziert analysieren lässt. Der bekannteste Vertreter dürfte Virustotal sein.

Die spanische Firma Hispasec Sistemas bietet mit Virustotal bereits seit einigen Jahren eine laufend erweiterte Online-Analyse von Dateien an. Aktuell untersucht das Unternehmen jede hochgeladene Datei mit 37 verschiedenen Malware-Scannern. Dabei handelt es sich um eine statische Analyse. Das heißt, die hochgeladene Datei wird nicht ausgeführt und nur anhand ihrer im Scanner (hoffentlich) vorhandenen Signatur und eventuell einer erfolgreichen heuristischen Analyse erkannt.

Das funktioniert prinzipiell recht gut. In den vergangenen Monaten haben die meisten Antivirus-Anbieter ihre Produkte jedoch um verhaltensbasierte Analysen erweitert. Dabei versuchen sie, einen Schädling anhand typischer Verhaltensmerkmale zu erkennen. Ein Trojaner könnte zum Beispiel eine Datei sein, die sich selbst in den System32-Ordner kopiert, Verbindung mit dem Internet aufnimmt, weitere Dateien herunterlädt und anschließend auf Port XY auf Befehle von außen lauscht.

Nach dem Upload einer Datei prüft Virustotal zuerst anhand eines Hash-Wertes, ob exakt diese Datei bereits früher einmal hochgeladen und untersucht wurde. Man hat dann die Möglichkeit, das alte Ergebnis zu betrachten oder den Scan mit den aktuellen Signaturen noch einmal ausführen zu lassen. Interessant ist beides. Man kann dann nämlich schön vergleichen, welcher Scanner etwas langsamer reagiert hat oder welcher Scanner eine einmal erkannte Datei plötzlich nicht mehr als gefährlich einstuft.

Am 6. Oktober 2008 wurde zum Beispiel der Wurm Socks von CAT-QuickHeal und Prevx1 als zumindest verdächtig eingestuft. Bei einem gestern durchgeführten Upload melden beide Scanner keine Gefahr.

Wenn bei einem Scan nur wenige Ergebnisse erzielt werden, handelt es sich eventuell um einen Fehlalarm. Interessant ist in diesem Fall immer, mit welchem Namen die Scanner die Datei erkannt haben wollen. Oft handelt es sich nur um eine Vermutung des Scanners, weil er bestimmte Merkmale der Datei als verdächtig einstuft (etwa die Verwendung bestimmter Packer wie UPX) oder weil er zum Zeitpunkt der Analyse eine fehlerhafte Signatur hat. Erst vor wenigen Tagen wurde etwa die Truecrypt-Exe von Avast vorübergehend als Trojaner eingestuft.

Früher hatte Virustotal noch die bei Virenautoren beliebte Option angeboten, eine von nur einigen Scannern erkannte Datei vertraulich zu behandeln. Heute senden die Spanier jede teilweise erkannte Datei an die Anbieter der anderen Scanner, damit diese ihre Signatur-Datenbanken erweitern können. Die Bekanntgabe dieser Änderung Anfang dieses Jahres löste im Virustotal-Blog einiges an Zeter und Mordio aus.

Ergebnis ist, dass es jetzt einige Web-Seiten gibt, die gegen eine Gebühr einen zu Virustotal prinzipiell vergleichbaren Dienst anbieten, bei dem eventuelle Treffer garantiert nicht weitergeleitet werden.

Wie eingangs erwähnt, stößt Virustotal mit seinen statischen Analysen technisch bedingt an Grenzen. Die Spanier können zwar immer mehr Scanner integrieren und die Erkennung dadurch weiter verbessern, aber es ist zum Beispiel ein großer Unterschied, ob man „nur“ die noch nicht ausgeführte EXE eines Rootkits erkennt oder ein im System bereits verankertes Rootkit.

In den kommenden Tagen möchte ich deswegen weitere Online-Dienste vorstellen, mit denen sich tiefergehende Analysen verdächtiger Dateien durchführen lassen.

Ergänzung: Erwähnt werden soll hier auch noch der Malware-Scan von Jotti, den es auch schon einige Jahre gibt. Jotti lässt im Vergleich zu Virustotal allerdings einiges zu wünschen übrig. Der Online-Dienst verwendet erheblich weniger Scanner und zeigt keine Zusatzinfos wie Hash-Werte der untersuchten Dateien an. Außerdem lassen sich die Ergebnisse nicht verlinken und im Dunkeln bleibt, von wann die verwendeten Signaturen sind.

Den weiter oben bereits erwähnten Wurm Socks habe ich gestern auch bei Jotti hochgeladen. Weder Gdata noch Panda sollen den nicht mehr gerade neuen Schädling erkannt haben.

Ich mag das nicht wirklich glauben (siehe dazu auch noch einmal den gestrigen Scan bei Virustotal mit aktuellen Signaturen). Entweder stimmt etwas beim Scan nicht oder die eingesetzten Signaturen sind schon älter. Bei einem Test heute morgen hat plötzlich sogar auch noch Norman den Wurm nicht mehr erkannt.

Sehr eigenartig.

0 Gedanken zu “Online-Schädlingsanalyse I: Virustotal

  1. Ich hab mir mittlerweile angewöhnt, alles, was mir auch nur irgendwie dubios erscheint, erstmal bei Virustotal zu testen, bevor ich es ausführe.

    Was ich noch vergessen hatte: Praktisch ist auch die Möglichkeit, Dateien per Mail an scan@virustotal.com oder mit einem kleinen Freeware-Tool hochzuladen (Link).

    Außerdem bietet Virustotal nun auch eine Hash-Suche (Link). Dabei lädt man die Datei nicht selbst hoch, sondern sucht erstmal in der Hash-DB von Virustotal, ob eventuell jemand anders die fragliche Datei bereits hochgeladen hatte.

    Den Hash einer Datei erstellt man zum Beispiel mit dem praktischen Freeware-Tool HashTab Windows Shell Extension (Link).

Schreibe einen Kommentar zu Bubu Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.