VirusTotal – ein Blick hinter die Kulissen des beliebtesten Malware-Scanners

von

Stefan
in , ,

Wenn in der IT-Security eine verdächtige Datei oder ein merkwürdiger Link auftaucht, ist oft der erste Gedanke: „Mal schnell bei VirusTotal prüfen.“ Kaum ein anderes Werkzeug ist so bekannt und gleichzeitig so unterschätzt. Viele sehen nur das Ergebnisfeld mit den „Treffern der AV-Engines“. Doch VirusTotal ist viel mehr – und kann, richtig eingesetzt, ein mächtiges Werkzeug im Incident Response und Threat Hunting sein.

Was ist VirusTotal überhaupt?

VirusTotal wurde 2004 in Spanien entwickelt und 2012 von Google übernommen. Heute ist es Teil von Google Chronicle, einer Plattform für Security-Analysen.
Das Prinzip ist denkbar einfach: man lädt eine Datei hoch, gibt eine URL, Domain oder IP ein – und erhält nach wenigen Sekunden eine Übersicht, was unterschiedliche Sicherheitssysteme dazu sagen.

Das Besondere: mehr als 70 Antivirus-Engines, diverse Sandboxes und weitere Sicherheitsfeeds laufen parallel. So entsteht eine Art „Schwarmintelligenz“ der Malware-Erkennung.

Mehr als nur „bösartig oder nicht“

Viele Nutzer:innen betrachten lediglich die Zahl am oberen Rand: „23 von 70 Engines haben die Datei erkannt“.
Doch der eigentliche Mehrwert steckt tiefer:

  • Metadaten verraten Dateigröße, Kompilierzeit, genutzte Libraries.
  • Sandbox-Reports zeigen, wie sich eine Datei verhält, wenn man sie ausführt.
  • Beziehungen machen sichtbar, welche Domains, IPs oder anderen Dateien mit dem Sample in Verbindung stehen.
  • Community-Kommentare bieten Erfahrungsberichte und zusätzliche Einschätzungen.

So wird aus einer simplen Malware-Suche eine kleine Threat-Intelligence-Plattform.

Praktisches Beispiel: Hash einer Datei ermitteln (Linux & Windows)

Bevor du irgendetwas hochlädst: oft ist es besser, zuerst den Hash der Datei zu berechnen und diesen Hash zu prüfen. So vermeidest du unnötiges Hochladen sensibler Inhalte, und viele Dienste (inkl. VirusTotal) liefern Infos, wenn ein Hash bereits bekannt ist.

Warum Hashes?

  • Ein Hash (z. B. SHA256) ist eine eindeutige Kurzform eines Datei-Inhalts.
  • Wenn du den SHA256-Hash einer Datei bei VirusTotal suchst, bekommst du schnell, ob diese Datei schon bekannt ist und wie viele Engines sie erkannt haben — ohne die Datei hochladen zu müssen.
  • Typische Algorithmen: SHA256, SHA1, MD5 (SHA256 ist aktuell am empfehlenswertesten).

Linux / macOS (Terminal)

Die meisten Linux-Distributionen haben die folgenden Tools vorinstalliert. Auf macOS funktioniert shasum / md5 ähnlich.

SHA256:

# Linux
sha256sum /pfad/zur/datei.bin

# macOS (Alternative)
shasum -a 256 /Pfad/zur/Datei.bin

SHA1:

sha1sum /pfad/zur/datei.bin
# oder macOS:
shasum -a 1 /Pfad/zur/Datei.bin

MD5:

md5sum /pfad/zur/datei.bin
# oder macOS:
md5 /Pfad/zur/Datei.bin

Beispielausgabe (sha256sum):

e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855  datei.bin

Kopiere die lange Hex-Zeile (den Hash) und füge sie in die VirusTotal-Suche ein.

Windows (PowerShell & CMD)

PowerShell (empfohlen, moderner):

# SHA256
Get-FileHash -Path "C:\Pfad\zur\Datei.bin" -Algorithm SHA256

# SHA1
Get-FileHash -Path "C:\Pfad\zur\Datei.bin" -Algorithm SHA1

# MD5
Get-FileHash -Path "C:\Pfad\zur\Datei.bin" -Algorithm MD5

Beispielausgabe (PowerShell):

Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
SHA256          E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855       C:\Pfad\zur\Datei.bin

CMD (ältere Windows, mit certutil):

certutil -hashfile "C:\Pfad\zur\Datei.bin" SHA256
certutil -hashfile "C:\Pfad\zur\Datei.bin" SHA1
certutil -hashfile "C:\Pfad\zur\Datei.bin" MD5

Beispielausgabe (certutil):

SHA256 hash of file C:\Pfad\zur\Datei.bin:
e3 b0 c4 42 98 fc 1c 14 9a fb f4 c8 99 6f b9 24 27 ae 41 e4 64 9b 93 4c a4 95 99 1b 78 52 b8 55
CertUtil: -hashfile command completed successfully.

(Hier die Leerzeichen entfernen, um die übliche kompakte Hex-Schreibweise zu erhalten.)

Was du danach machst

  1. Kopiere den Hash (z. B. e3b0c44298fc1c...) in das Suchfeld auf https://www.virustotal.com/ — VirusTotal zeigt dir, ob die Datei bekannt ist, welche Engines anschlagen, Sandbox-Reports etc.
  2. Wenn keine Einträge vorliegen und du die Datei analysieren möchtest, überlege gut, ob du sie hochlädst (OpSec & Datenschutz beachten). Alternativ kannst du eine lokales Sandbox-System nutzen.

Chancen und Grenzen

Die Stärken von VirusTotal liegen auf der Hand:

  • Schnelligkeit: In Sekunden bekommst du Ergebnisse.
  • Breite: Statt nur einer Engine siehst du viele Meinungen.
  • Offenheit: Jeder kann die Plattform kostenlos nutzen.

Aber:

  • Fehlalarme sind möglich. Nur weil eine Engine Alarm schlägt, ist die Datei nicht automatisch böse.
  • Falsch negative Befunde gibt es ebenso – auch eine nicht erkannte Datei kann Malware sein.
  • Datenschutz: Alles, was du hochlädst, landet in einer Datenbank. Vertrauliche Firmendaten oder sensible Dokumente haben dort nichts verloren.
  • OpSec-Risiko: Angreifer können erkennen, wenn ihre Samples geprüft werden — sei vorsichtig mit aktiven Ermittlungen.

Best Practices im Alltag

  1. Hashes statt Dateien hochladen – wann immer möglich. So schützt du sensible Inhalte.
  2. VirusTotal nicht isoliert verwenden – es ist ein Indikator, kein Urteil.
  3. Automatisiere wiederkehrende Prüfungen – in deinem SIEM oder mit Skripten, die Hashes sammeln und prüfen.
  4. Kombiniere Quellen – z. B. abuse.ch, PhishTank oder interne Logs für Kontext.
  5. Dokumentation – notiere Hash, Fundort, verdächtige Indikatoren und Aktionen (Isolierung, Meldung an SOC).

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert