In Zweifelsfällen ist es gut, sich eine zweite Meinung zu holen. Das gilt für schwierige ärztliche Diagnosen genauso wie für verdächtige Dateien und Websites. Der Onlinedienst Virustotal bietet eine solche zweite Meinung bei Virenverdacht. Das Besondere an dem Dienst: Auf www.virustotal.com können Sie eine Datei mit über 70 Virenscannern auf Virenbefall prüfen lassen. So erhalten Sie nicht nur eine zweite, sondern 70 zweite Meinungen.
Ein Besuch bei Virustotal empfiehlt sich etwa, wenn Ihnen Ihr Antivirenprogramm eine Datei als Virus meldet, Sie aber glauben, es könne sich um einen Fehlalarm handeln. Oder umgekehrt: Ihr Antiviren-Tool bleibt stumm, Sie halten eine Datei aber dennoch für verdächtig. Hier finden Sie die besten Tipps zu Virustotal.com!
Relevant: Die 10 schlimmsten Viren-Fallen im Überblick
1. So prüfen Sie eine Datei bei Verdacht auf Viren
Rufen Sie die Website www.virustotal.com auf und wählen Sie „Choose file“. Über ein Dateiauswahlfenster können Sie nun die verdächtige Datei hochladen. Diese darf maximal 550 MB groß sein, da die Datei komplett auf den Server von Virustotal übertragen wird. Ist das erledigt, prüfen je nach Dateityp bis zu 70 Virenscanner die Datei auf Gefährlichkeit. Die Scanergebnisse werden als Liste präsentiert.
2. So bewerten Sie die Ergebnisse des Scans
Einige der rund 70 Scanner sind sehr sensibel eingestellt. Sie melden eine Datei bereits als verdächtig, wenn diese nicht ganz eindeutig harmlos ist. Meist ist es die eingebaute Heuristik eines Virenscanners, die schon kleinste Codebestandteile als Bedrohung einstuft.
Entsprechend gilt für die Bewertung der Ergebnisse Folgendes: Wenn nur wenige Scanner einen Virus melden, etwa ein bis fünf Scanner, könnte das auch ein Fehlalarm sein. Trotzdem sollten Sie vorsichtig sein, die Datei zunächst nicht nutzen und den Scan am nächsten Tag noch mal durchführen. Denn vielleicht handelt es sich um einen ganz neuen Virus, den die meisten Antivirenhersteller noch nicht kennen. Geben Sie den Herstellern also Zeit, diesen Schädling genauer zu untersuchen. Sollten bei der Überprüfung am nächsten Tag, weitere Scanner Alarm schlagen, handelt es sich wahrscheinlich um einen Virus. Bleibt die Zahl gleich, ist es vermutlich nur ein Fehlalarm.
Unerwünscht, aber weitgehend harmlos: Ein weiterer Grund dafür, dass nur einige Scanner die untersuchte Datei als verdächtig einstufen, liegt an der Unterscheidung zwischen „Unerwünschter Software“ und Virus. Die meisten Scanner melden nur eindeutig schädlichen Code. Einige wenige Scanner reklamieren aber auch Dateien, die zum Beispiel stark mit Werbeelementen verseucht sind.
Ergebnisse im Detail: Der Dienst Virustotal erklärt die einzelnen Angaben der Ergebnisliste auf dieser englischsprachigen Seit e.
3. Uploadtool: Per Drag & Drop zu Virustotal
Mit dem Programm Winja laden Sie schnell und einfach eine verdächtige Datei zu der Website Virustotal hoch. Starten Sie Winja nach der Installation, und ziehen Sie beliebig viele Dateien per Drag & Drop auf den Bereich „Herunterladen & Scannen“ in der Programmoberfläche. Das Tool lädt die Dateien automatisch zum Multiscanner Virustotal hoch. Sie erhalten die Ergebnisse nach einem Klick auf das zweite Lupensymbol von oben. Die Dateien werden in Paketen von fünf Stück an Virustotal gesendet. Je nach Auslastung des Dienstes kann es einige Zeit dauern, bis Sie Ihre Ergebnisse erhalten. Winja gibt es auch in einer portablen Version. Diese ist zusammen mit der Installationsversion im Archiv von Winja enthalten.
4. Upload von Dateien per Kontextmenü
Ein weiteres Tool stammt direkt von Virustotal: Der Virustotal Uploader integriert sich nach seiner Installation ins Kontextmenü des Windows-Explorers. Klicken Sie dort mit der rechten Maustaste auf eine oder mehrere markierte Dateien und wählen Sie den Eintrag „Send to Virustotal“. Das Tool lädt die Datei zum Clouddienst hoch und öffnet einen Browser, um das Scanergebnis anzuzeigen.
Hinweis : Die Macher von Virustotal haben den Support für das Tool eingestellt. In unserem Test mit Windows 10 1909 funktionierte es aber noch einwandfrei.
5. Für große Dateien: Hash statt Datei
Falls Sie nur eine sehr begrenzte Geschwindigkeit für den Upload zur Verfügung haben, können Sie ein Trick anwenden: Virustotal merkt sich die Scanergebnisse zu allen geprüften Dateien. Dazu erstellt der Dienst von jeder untersuchten Datei einen Hashwert als MD5-Summe. Sie müssen also oft gar nicht die fragliche Datei zu Virustotal hochladen, sondern nur dessen Hashwert. Diesen ermitteln Sie mit einem Tool wie Win MD5 Free . Kopieren Sie den Wert, rufen Sie www.virustotal.com auf und klicken Sie auf „Search“. Fügen Sie den Wert dort ein und klicken Sie auf das Lupensymbol. Sollte die zugehörige Datei schon mal gescannt worden sein, werden die Ergebnisse sofort angezeigt.
6. Links mit Virustotal prüfen
Der Dienst Virustotal prüft nicht nur Dateien, sondern auch Links oder ganze Webseiten, ob dahinter gefährliche Inhalte stecken. Um eine URL einem Scan zu unterziehen, rufen Sie die Virustotal-Webseite auf und klicken auf „URL“.
Kopieren Sie den fraglichen Link hinein und klicken Sie auf das Lupen Symbol.
7. So prüfen Sie ganze Webseiten & Downloads
Das Prüfen von URLs (Tipp 6) erledigen Sie bequemer mit der Browser-Erweiterung VT4 Browsers , die es für Chrome und Firefox gibt. Ist die Erweiterung installiert, gibt es den neuen Eintrag „VT4 Browser –› Scan selected Link“ im Kontextmenü des Browsers. Klicken Sie mit der rechten Maustaste auf einen Link, um den Befehlauszuführen. Im Kontextmenü finden Sie alternativ den Befehl „VT4 Browser –› Scan current page“, den Sie nutzen können, wenn Ihnen die aktuelle Site verdächtig vorkommt.
Außerdem überprüft die Erweiterung Downloads automatisch. Dafür erstellt es nach dem Download einer Datei die MD5- Checksumme und lädt diese zu Virustotal hoch. Es geht also kaum Bandbreite verloren. Über den Vorgang informiert ein kleines Pop-up-Fenster im Browser. Wenn Sie die Ergebnisse des Scans sehen möchten, müssen Sie darin auf den entsprechenden Link klicken.
Sollte der Scan von Downloads bei Ihnen nicht automatisch starten, kontrollieren Sie die Einstellungen der Erweiterung. Dafür genügt ein Klick auf das VT4-Browsers-Icon in der Symbolleiste des Browsers.
8. So nutzen Sie einen Scanner für alle Dateien
Virustotal scannt immer nur einzelne Dateien. Wenn Sie Ihre gesamte Festplatte mit einem Onlinescanner auf Viren prüfen möchten, empfehlen wir den Dienst Eset Onlinescanner . Klicken Sie auf „Jetzt prüfen“. So landet eine EXE-Datei auf Ihrem System, die Sie für den Scan starten müssen.
9. Virustotal für Android-Smartphones und -Tablets
Für Android-Geräte gibt es die App Virustotal Mobile . Wie unter Windows funktioniert der Dienst hier als zweite Meinung. Er kann keine permanente Antiviren-App ersetzen. Dafür aber überprüft Virustotal Mobile zum Beispiel alle installierten Apps. Dafür stehen rund 50 Scanner bei Virustotal bereit.
Außerdem kann Virustotal Mobile einzelne Dateien vom Android-Gerät zum Scannen hochladen. Starten Sie dafür die App, und tippen Sie auf das Plus-Symbol unten rechts. Wählen Sie das Dateisymbol und dann eine Datei von Ihrem Gerät. In unserem Test mit Android Version 10 funktionierte das allerdings nicht mehr. Dagegen funktionierte der Scan von verdächtigen URLs mit allen Geräten. Dafür tippen Sie auf das Pluszeichen, wählen das Globussymbol und fügen dann die zu prüfende URL ein.
Android: So entfernen Sie einen Virus von Ihren mobilen Geräten
10. Alternative Online-Virenscanner zu Virustotal
Virustotal funktioniert fast immer hervorragend. Es ist dennoch gut, auch ein paar Alternativen zu kennen. Zum einen kann auch mal Virustotal vorübergehend nicht erreichbar sein. Zum anderen ist der Dienst vor einigen Jahren von Google gekauft worden. Einige Anwender möchten nur ungern über diesen Dienst noch mehr Daten an Google preisgeben. Es dient somit auch dem eigenen Datenschutz, wenn man nicht oder zumindest nicht kontinuierlich bei Virustotal seine Files hochlädt.
Virscan.org : Die Onlinedienst http://virscan.org lässt 49 Scanner auf eine Datei los, die Sie hochgeladen haben. Der Upload dauerte in unserem Test länger als bei den anderen Diensten, dafür erschienen dann aber die Scanergebnisse recht schnell.
Opswat : Der Dienst Opswat Metadefender Cloud (https://metadefender.opswat.com/#!/) prüft eine hochgeladene Datei mit 37 Antivirenscannern. Klicken Sie dafür auf das Büroklammersymbol. Über den Menüpunkt „Scan History“ sehen Sie, ob die Datei früher schon mal gescannt wurde und wie die Ergebnisse dabei ausgefallen waren.
Jottis Malware Scan : Dieser Onlinedienst unter https://virusscan.jotti.org prüft Ihre hochgeladene Datei mit weniger Scannern, 15 sind es aber immer noch.
Vermeiden Sie Typosquatting bei Virustotal.com
Typosquatting bezeichnet eine Methode, Menschen mit ähnlichen Webadressen auf eine andere Webseite zu locken. Ähnlich sind die Webadressen zu bekannten Sites. Man spricht auch von Tippfehler-Domains. Ein klassisches Beispiel dafür ist die Adresse postbank.de, die es im Bereich von Typosquatting auch als postank.de, pstbank. de oder ostbank.de gibt oder geben könnte. Im Falle von Banken geht es meist um Phishing-Versuche, bei denen Kriminelle an die Zugangsdaten von Bankkunden kommen wollen. Es geht aber nicht immer um Phishing. Oft möchten die Betreiber von Tippfehler-Domains einfach viele Besucher auf ihrer Website haben, ohne dafür bei Google werben zu müssen. Ein Beispiel dafür ist die Domain www.virus-total.com . Sie ähnelt sehr der Website www.virustotal.com , bei der man verdächtige Dateien zum Malware-Check hochladen kann. Doch wer www.virus-total.com in seinen Browser eingibt, landet bei einer Shoppingsite (Stand August 2020). Zuvor führte der Link zu einem Onlinecasino.
Typosquatting-Übersicht: Wer sich einen Überblick über typische Tippfehler-Domains zu einer bestimmten Adresse verschaffen möchte, ruft diese Website auf und gibt dort eine legitime Website ein. Für das Beispiel postbank.de kennt die Site rund 260 ähnliche Adressen und prüft zudem, ob diese gerade genutzt werden.
Wer die Site www.virustotal.com wegen der Tippfehler-Domain lieber meiden möchte, kann als Alternativen das Tool Winja, den Virustotal Uploader oder die Browser-Erweiterung VT4 Browsers nutzen.
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.