Vertrauliche Dateien sicher bei Virustotal prüfen
Virustotal ist ein nützlicher Online-Dienst, mit dem Sie verdächtige Dateien mit Dutzenden Virenscannern auf Malware-Befall testen können. Aber nehmen wir an, dass Ihnen ein Geschäftspartner eine Office-Datei mit wichtigen Details zu einem geplanten Projekt zugeschickt hat. Bevor Sie dieses Dokument auf Ihrem Arbeitsrechner öffnen, wollen Sie es erst noch auf einen möglichen Befall testen, zum Beispiel weil der Geschäftspartner letztes Jahr schon mal eine Virusinfektion hatte und Sie daher vorsichtig geworden sind.
Das Problem ist jedoch, dass Sie die Kontrolle über Ihre Datei verlieren, wenn Sie sie bei Virustotal hochladen. Der Dienst bietet zahlenden Kunden nämlich die Möglichkeit, auf hochgeladene Dateien zuzugreifen, um sie ausführlicher analysieren zu können. Sensible Dateien sollten Sie daher auf keinen Fall bei Virustotal hochladen. Bei personenbezogenen Daten von Kunden ist das sogar durch die DSGVO untersagt.
Sie können die Datei jedoch auch prüfen lassen, ohne sie gleich bei Virustotal hochzuladen. Dazu benötigen Sie nur ihren Hash-Wert.
Hash-Wert per Kommandozeile berechnen
Den Hash-Wert einer Datei können Sie leicht selbst mit Windows-Bordmitteln errechnen. Ein separates Tool benötigen Sie nicht.
Möglichkeit 1: Verwenden Sie den folgenden Befehl in einer CMD-Eingabeaufforderung:
CertUtil -hashfile SHA1
Markieren Sie den angezeigten MD5-Wert mit der Maus und kopieren Sie ihn in die Zwischenablage.
Möglichkeit 2: Alternativ nehmen Sie die PowerShell und verwenden darin den folgenden Befehl:
Get-FileHash -Algorithm SHA1 $Dateiname
Den Hash-Wert finden Sie dann in der Spalte „Hash“.
Hash-Wert über die grafische Oberfläche anzeigen lassen
Möglichkeit 3: Wenn Sie die grafische Oberfläche von Windows lieber nicht verlassen, dann klicken Sie im Dateiexplorer mit der rechten Maustaste auf die fragliche Datei und wählen Sie „Einstellungen“ aus. Wechseln Sie zum Reiter „Prüfsummen“ und kopieren Sie den Wert hinter „SHA-1“ in die Zwischenablage.
Hash-Wert bei Virustotal überprüfen und Ergebnis interpretieren
Rufen Sie nun die Webseite von Virustotal auf und klicken Sie rechts auf „Search“. Fügen Sie den SHA-1-Wert in das Feld ein und drücken Sie die Eingabetaste. Anschließend sehen Sie, ob die Datei bereits von anderen Nutzern bei Virustotal hochgeladen wurde. Bei per Spam-Mail versandten infizierten Dateianhängen, die ja in der Regel nicht nur an einen einzigen Empfänger gehen, kann das durchaus der Fall sein.
Andererseits bedeutet ein Ergebnis mit keinerlei Treffern nicht automatisch, dass die fragliche Datei wirklich hundertprozentig sauber ist. Bestehen weiter Bedenken, dann öffnen Sie sie lieber nicht oder verwenden Sie dafür eine abgeschottete virtuelle Maschine.
[Dieser Beitrag wurde ursprünglich im IT Security Newsletter (RIP) veröffentlicht.]
