computerwoche.de

Security

How-to

So überprüfen Sie sicher riskante Dateien auf Viren

18.05.2023
Von 
Roland Freist, Jahrgang 1962, studierte in München Kommunikationswissenschaft und arbeitete danach als Redakteur bei IT-Fachverlagen. Seit 1999 ist er selbstständig und schreibt Artikel zu Windows, Android, Anwendungen, Netzwerken, Security und Internet. Im professionellen Umfeld bearbeitet er Themen rund um Storage, Cloud-Computing und Virtualisierung.
Alle Posts des Autors Email: Connect:
Wenn Sie sich nicht sicher sind, ob es sich bei einem Programm oder einer Datei um Malware handelt, bieten sich die geschützten Umgebungen von Online-Sandboxes als Untersuchungsräume an.
Foto: TierneyMJ - shutterstock.com

Viele Anwender kennen dieses Problem: Nach dem Download eines Tools klickt man doppelt auf die EXE-Datei, um das Programm auszuführen. Doch anstatt des Startbildschirms erscheint ein Fenster mit blauem Grund und erklärt, dass der Computer durch Windows geschützt wurde und der Windows Defender Smartscreen den Start der Anwendung verhindert habe.

Zwar lässt sich das Tool dann über "Weitere Informationen" trotzdem starten, wenn man glaubt, dass es sich um einen Fehlalarm handelt. Doch es bleibt die Unsicherheit, ob es nicht vielleicht tatsächlich eine Schadsoftware ist, die man da gerade gestartet hat.

Eine Lösung bieten in diesem Fall Sandboxes, also Sandkästen, im Internet. Sie erzeugen eine virtuelle, nach außen abgeschirmte Umgebung, in die Sie Ihre Dateien hochladen können. Nach dem Start eines Programms oder auch dem Öffnen eines Office-Dokuments können Sie live verfolgen, was passiert. Falls es sich tatsächlich um einen Virus handelt, können Sie zuschauen, wie er das virtuelle System infiziert, darin Änderungen vornimmt und anschließend beispielsweise vorhandene Dokumente verschlüsselt.

Da die Viren-Software aus der Sandbox nicht entkommen kann, kann sie auch keinen Schaden anrichten. Sandboxes nehmen aber auch URLs entgegen und untersuchen die Websites auf verdächtiges Verhalten und mögliche Schadsoftware.

Dateien und Websites analysieren mit der Online-Sandbox Any.run

Any.run zeigt auf seiner Startseite eine interaktive Karte, die die Zahl der in den einzelnen Ländern hochgeladenen, bösartigen Dateien nennt. Ein Klick auf ein Land führt zu einer Auflistung der gefundenen Schädlinge.
Any.run zeigt auf seiner Startseite eine interaktive Karte, die die Zahl der in den einzelnen Ländern hochgeladenen, bösartigen Dateien nennt. Ein Klick auf ein Land führt zu einer Auflistung der gefundenen Schädlinge.

Die im Internet funktionierende Sandbox Any.run bietet kostenlose Malware-Überprüfungen für Privatpersonen an, als Betriebssystem steht allerdings in der kostenlosen Version nur die 32-Bit-Variante von Windows 7 zur Verfügung. Außerdem verfolgt der Dienst die Aktionen des hochgeladenen Programms oder der Website lediglich für 60 Sekunden, und die Dateien dürfen maximal 16 MByte groß sein.

Rufen Sie die Website https://app.any.run auf. Klicken Sie links oben auf "New task" und klicken Sie im folgenden Fenster auf "Register", um sich zu registrieren und anschließend anzumelden. Nach einem erneuten Klick auf "New task" können Sie eine URL eingeben oder eine Datei hochladen. Achten Sie darauf, dass Sie oben den "Pro mode" aktiviert haben. Dann können Sie einstellen, von wo aus die Datei gestartet werden soll.

Der voreingestellte Temp-Ordner ist in den meisten Fällen eine gute Wahl. Bei einer URL wählen Sie hingegen den gewünschten Browser aus. Den voreingestellten Internet Explorer sollten Sie gegen Google Chrome, Mozilla Firefox oder Opera auswechseln.

Bereits in der kostenlosen Version von Any.run können Sie einen Startordner wählen oder einen Browser einstellen. Als Betriebssystem ist jedoch Windows 7 mit 32 Bit fest vorgegeben.
Bereits in der kostenlosen Version von Any.run können Sie einen Startordner wählen oder einen Browser einstellen. Als Betriebssystem ist jedoch Windows 7 mit 32 Bit fest vorgegeben.

Unter "Network" stellen Sie mit einem Häkchen vor "Fake net" ein, ob der Test über ein virtuelles Netzwerk erfolgen soll. Mit der Option "Route via TOR" lassen Sie sämtliche Verbindungen nach außen über das anonyme Tor-Netzwerk laufen. Die weiteren Einstellungen können Sie übernehmen - viele davon sind in der kostenlosen Version ohnehin nicht veränderbar. Klicken Sie dann auf "Run a public task". Beachten Sie, dass Dokumentdateien etwa für Word oder Excel nach dem Hochladen für jedermann einsehbar sind.

Any.run verfolgt nun eine Minute lang die Aktivitäten eines Programms oder Makros. Oben im Hauptfenster sehen Sie die Veränderungen auf dem Windows-Desktop, darunter protokolliert die Software die HTTP-Aufrufe, die Internetverbindungen, die DNS-Abfragen und schließlich die erkannten Bedrohungen, die von dem Tool oder der Website ausgehen. Links können Sie umschalten zwischen Datei-, Netzwerk- und Debug-Aktivitäten.

Auf der Ergebnisseite können Sie die Aktivitäten der Datei oder des Programms in Windows verfolgen. Rechts oben weist ein roter Balken auf den bösartigen Charakter hin.
Auf der Ergebnisseite können Sie die Aktivitäten der Datei oder des Programms in Windows verfolgen. Rechts oben weist ein roter Balken auf den bösartigen Charakter hin.

Auf der rechten Seite sehen Sie die Prozesse, die das Programm oder die Website ausgelöst hat. Interessante Einblicke vermittelt ein Klick auf den Button "IOCs": Die "Indicators of Compromises" fassen die wichtigsten Aktivitäten in einer Liste zusammen. Mit "Malconf" erreichen Sie eine Übersicht eventueller Malware-Aktionen, mit "Restart" können Sie die Überprüfung wiederholen.

Um die hochgeladenen Dateien beziehungsweise die angegebenen Websites in einer anderen Betriebssystemumgebung als Windows 7 32 Bit überprüfen zu können, benötigen Sie einen kostenpflichtigen Account zum Preis ab 109 Euro pro Monat.

Lokale Alternativen zu Online-Sandboxes

Die Online-Angebote haben den Nachteil, dass Sie eventuell vertrauliche Daten hochladen und für andere Benutzer einsehbar machen müssen. Um das zu vermeiden, bieten sich Ihnen zwei Alternativen an: Sandboxie und virtuelle Maschinen. Sandboxie Plus ist ein kostenloses Open-Source-Programm, mit dem Sie auf Ihrem Rexhner eine eigene Sandbox einrichten. Dort können Sie beliebige Windows-Anwendungen installieren und überprüfen. Die Sandbox verfügt über ein eigenes Dateisystem und eine eigene Registry, so dass sich Änderungen nicht auf Ihre Windows-Installation auswirken. Noch besser ist die Einrichtung einer virtuellen Maschine. Während Sandboxie lediglich einzelne Anwendungen von der Außenwelt abschirmt, läuft in einer virtuellen Maschine ein kompletter virtueller PC, inklusive eigenem Festplattenspeicher und RAM. Das hat den Vorteil, dass Sie in der virtuellen Maschine nahezu beliebige Betriebssysteme einrichten können. Tipps zu Virtualbox finden Sie hier.

Mit Virtualbox setzen Sie eine virtuelle Maschine auf, in der Sie mit nahezu beliebigen Betriebssystemen Dateien, Programme und Websites untersuchen können.
Mit Virtualbox setzen Sie eine virtuelle Maschine auf, in der Sie mit nahezu beliebigen Betriebssystemen Dateien, Programme und Websites untersuchen können.

Kostenlose Überprüfungen mit Hybrid Analysis

Auf der Ergebnisseite präsentiert Hybrid Analysis die Auswertungen mehrerer Virenscanner und präsentiert erste Analysen. Rechts oben weist eine rote Einblendung auf eine potenzielle Malware hin.
Auf der Ergebnisseite präsentiert Hybrid Analysis die Auswertungen mehrerer Virenscanner und präsentiert erste Analysen. Rechts oben weist eine rote Einblendung auf eine potenzielle Malware hin.

Hybrid Analysis ist die wohl bekannteste Online-Sandbox für die Untersuchung von verdächtigen Dateien und Websites. Das Angebot richtet sich an die Open-Source-Community und ist kostenlos. Es basiert auf der kommerziellen Falcon-Sandbox von Crowdstrike, die für Hybrid Analysis leicht abgespeckt wurde.

Die Software bietet einen hohen Funktionsumfang: Sie öffnet Windows- und Office-Dateien in einer Vielzahl von Formaten und bietet als Betriebssysteme die 32- und 64-Bit-Versionen von Windows 7, Windows 10 64 Bit, Ubuntu Linux 16.04 und 20.04 sowie Android an. Außerdem gibt es als Option einen "Quick Scan", der die Dateien zur Untersuchung an Virustotal, an Crowdstrike Falcon Static Analysis, an die Virustotal-Alternative Metadefender und an die Website-Sandbox https://urlscan.io schickt. Wenn es darum geht, nur schnell eine einzelne Datei oder Website zu scannen, sollten Sie dieser Option den Vorzug geben. Denn Hybrid Analysis ist häufig überlastet, eigene Analysen durch die Sandbox dauern in der Regel mehrere Minuten.

Nach dem Klick auf das Infofenster zu der Datei beziehungsweise Website öffnet Hybrid Analysis eine Seite mit detaillierten Analysedaten. Dort erfahren Sie unter anderem, welche Aktionen die Software in der Sandbox gestartet hat.
Nach dem Klick auf das Infofenster zu der Datei beziehungsweise Website öffnet Hybrid Analysis eine Seite mit detaillierten Analysedaten. Dort erfahren Sie unter anderem, welche Aktionen die Software in der Sandbox gestartet hat.

Sobald die Analyse abgeschlossen ist, kategorisiert die Software die Datei oder URL als "Malicious" (bösartig), "Suspicious" (verdächtig) oder "Informative" (neutral). Ein Klick auf das Ergebnisfenster liefert anschließend umfassende Detailinformationen zum Verhalten, zum Inhalt, dem Copyright, zu Netzwerkabfragen oder auch zum HTTP-Traffic. Außerdem können Sie Screenshots von den Aktivitäten innerhalb der Sandbox abrufen.

Ebenso wie die anderen Dienste in dieser Übersicht macht auch Hybrid Analysis die Inhalte der hochgeladenen Dateien für andere Benutzer sichtbar. Denken Sie daran, bevor Sie vertrauliche Dokumente für eine Überprüfung hochladen.