Das kommt vor: Ihr Schutzprogramm zeigt einen Virenfund, Sie glauben aber, es ist ein Fehlalarm? Dann holen Sie sich bei VirusTotal eine zweite Meinung. Der Dienst prüft mit 64 Virenscannern. So können Sie besser einschätzen, ob etwas an der Meldung dran ist. COMPUTER BILD erklärt, worauf Sie dabei achten sollten.
Dateien mit VirusTotal prüfen
Wollen Sie eine Datei prüfen, öffnen Sie die
Seite von VirusTotal. Klicken Sie dann auf “Choose file”, und wählen Sie die entsprechende Datei per Doppelklick aus. Falls diese noch nie bei VirusTotal geprüft wurde, folgt ein Klick auf “Confirm Upload”. Andernfalls können Sie sich zwischen dem Upload und dem letzten Scanergebnis entscheiden. Das letzte Ergebnis wird sofort angezeigt. Beim Scan tauchen die Einzelergebnisse nach und nach auf. Insgesamt scannt VirusTotal mit 64 Virenscannern. Um die Ergebnisse einzuschätzen, ist die Anzahl entscheidend: Finden nur wenige der Scanner etwas, dann ist die Wahrscheinlichkeit für einen Fehlalarm hoch. Bei mehr als zehn Meldungen sollten Sie die Datei allerdings sofort löschen. Aber auch die Namen der Funde geben eventuell Aufschluss. Heißen diese etwa “Trojan.generic” oder ähnlich, ist für die Meldung ein Risikowert verantwortlich. Es gibt dann keine explizite Virensignatur dafür, aber zu viele Dinge sind auffällig: zum Beispiel fehlende digitale Signaturen der Hersteller oder auch Funktionen des Programms, etwa wenn ein Screenshot-Programm heimlich andere Prozesse starten kann. Steht dort hingegen eine genaue Bezeichnung, etwa “Mirai” oder “AgentTesla”, dann basiert die Erkennung auf einem Codeschnipsel, der genauso in einer Malware verwendet wird. In diesem Fall sollten Sie auch bei wenigen Meldungen vorsichtshalber die Datei löschen. Zuletzt sind auch die Hersteller interessant, die melden. Die großen und bekannten Hersteller melden nur sehr selten Fehlalarme, kleinere, unbekannte Anbieter haben womöglich noch nicht so ausgereifte Datenbanken und Erkennungsmechanismen.
Einschränkungen von VirusTotal
Die Prüfung bei VirusTotal funktioniert so, dass die Datei mit dem entsprechenden Programm gescannt wird. In den meisten Fällen führt das Schutzprogramm sie dabei auch in einer sicheren Umgebung aus und schaut, was die Software tut. VirusTotal kann aber keinen Echtzeitscanner ersetzen. Denn wartet eine Malware zum Beispiel nach dem Start lange genug, bevor sie aktiv wird, ist der Scan bereits abgeschlossen. Dann lässt sie sich zwar immer noch über andere Kriterien erkennen, aber nicht über die verhaltensbasierte Erkennung. Das Schutzprogramm auf Ihrem PC meldet daher in der Regel besser als nur ein Virenscanner. Zudem kennen auch Malware-Entwickler VirusTotal und nutzen es. Und zwar so, dass sie ihre Malware immer weiter anpassen und verbessern, bis VirusTotal nichts mehr meldet. Dann erst lassen sie die Malware auf die freie Wildbahn, und ein Katz-und-Maus-Spiel mit den Antivirenherstellern beginnt. Die untersuchen die Datei, sobald diese auf einem PC mit deren Schutzprogramm landet. Und geben dann Signaturen heraus oder passen die Erkennungskriterien an, sodass die Malware erkannt wird. Die Malware-Entwickler hingegen geben Updates heraus, mit denen die Erkennung wieder fehlschlägt. Selbst wenn VirusTotal “0/64” anzeigt, ist das keine Garantie dafür, dass die Datei wirklich harmlos ist. Im Zweifel sollten Sie daher der Meldung Ihres Schutzprogramms vertrauen und die Datei löschen, selbst wenn das bedeutet, auf ein Programm zu verzichten.
Alternativen zu VirusTotal
Neben VirusTotal gibt es noch einige andere Online-Virenscanner, die Sie für eine zweite Meinung zu Rate ziehen können. So bieten etwa einige Antivirenhersteller ihren Scanner auch online an, andere scannen ebenfalls mit mehreren Programmen. COMPUTER BILD hat diese in einer Übersicht der besten
Online-Virenscanner zusammengefasst. Auch dort gelten allerdings die oben genannten Einschränkungen.
