How-to

So überprüfen Sie sicher riskante Dateien auf Viren

18.05.2023
Von 
Roland Freist, Jahrgang 1962, studierte in München Kommunikationswissenschaft und arbeitete danach als Redakteur bei IT-Fachverlagen. Seit 1999 ist er selbstständig und schreibt Artikel zu Windows, Android, Anwendungen, Netzwerken, Security und Internet. Im professionellen Umfeld bearbeitet er Themen rund um Storage, Cloud-Computing und Virtualisierung.

Schnelle Datei- und URL-Analysen mit Intezer Analyze

Intezer Analyze richtet sich in erster Linie an Software-Entwickler, die den Dienst über eine Schnittstelle in ihre eigenen Anwendungen integrieren können. Aber auch eine Nutzung über die Website ist möglich.
Intezer Analyze richtet sich in erster Linie an Software-Entwickler, die den Dienst über eine Schnittstelle in ihre eigenen Anwendungen integrieren können. Aber auch eine Nutzung über die Website ist möglich.

Im Vergleich mit Any.run und Hybrid Analyzer liefert Intezer Analyze deutlich weniger Informationen über die hochgeladene Datei oder die untersuchte Website. Man erfährt weder, welches Betriebssystem in der Sandbox eingesetzt wird, noch gibt es Bilder oder Auflistungen der Aktionen, die ein Programm oder eine Website in der virtuellen Umgebung ausgeführt haben.

Der Dienst arbeitet im Vergleich mit anderen Kandidaten in dieser Übersicht recht schnell, eine Analyse dauert nur etwa eine Minute. Anschließend erfahren Sie, ob die Datei oder Website bösartig oder harmlos ist; Entwickler bekommen zusätzlich umfangreiche Informationen zum Code der Datei. Hochladen lassen sich ausführbare Files genauso wie Office-Dokumente. Während einer zweiwöchigen Testphase ist der Dienst kostenfrei und unbegrenzt nutzbar. Anschließend kostet die Pro-Version ab 200 US-Dollar pro Monat, die Free-Version erlaubt bis zu zehn Scans pro Monat.

Mit Screenshots dokumentiert Hybrid Analysis das Verhalten des Programms in der Sandbox. Das ist besonders hilfreich, wenn eine Software versucht, den Benutzer zu gefährlichen Aktionen oder Klicks auf Links zu verleiten.
Mit Screenshots dokumentiert Hybrid Analysis das Verhalten des Programms in der Sandbox. Das ist besonders hilfreich, wenn eine Software versucht, den Benutzer zu gefährlichen Aktionen oder Klicks auf Links zu verleiten.

Ausführliche Infos über Websites mit den Dienst urlscan.io

Die bereits erwähnte Website-Sandbox urlscan.io bietet keine Analyse von Programmen oder Dateien, sondern hat sich auf die Untersuchung von Websites spezialisiert. Nach Eingabe einer URL können Sie wählen, von welchem Land aus die Analyse gestartet und welcher Browser verwendet werden soll. Nach einigen Sekunden listet der Dienst umfangreiche Daten zu der Site auf und weist auf verdächtige Aktivitäten hin. Das geht meist recht flott. In der kostenlosen Version sind nur öffentliche Scans möglich, bei denen die untersuchte Webadresse für alle Nutzer sichtbar ist.

Anwendungen mit integrierter Sandbox

Um die Sicherheit zu erhöhen und die Ausbreitung von Schadsoftware zumindest zu erschweren, haben einige Software-Hersteller ihre Produkte mit eingebauten Sandboxes versehen.

Das gilt in erster Linie für die Browser: Sowohl die auf Chromium basierenden Browser wie Google Chrome, Opera und Microsoft Edge als auch Mozilla Firefox nutzen die Sandbox-Technik, um die einzelnen Tabs in voneinander getrennten Prozessen laufen zu lassen. Damit soll ein Überspringen von Malware auf interne HTML-Seiten verhindert werden. Im Task-Manager von Windows können Sie erkennen, dass etwa Chrome teilweise Dutzende von Prozesse startet.

Darüber hinaus haben die Browser-Hersteller noch eine Reihe weiterer Sandboxes entwickelt.

So arbeitet Chrome seit 2021 mit einer Privacy Sandbox, die bei entsprechender Einstellung einen Abruf und eine Auswertung von Third-Party-Cookies unmöglich macht. Firefox verfügt hingegen über eine Technik namens Rlbox, die einige Nachteile der klassischen Browser-Sandboxes wie den hohen Speicherbedarf der einzelnen Prozesse ausgleicht.

Am weitesten geht jedoch Microsoft Edge: Der Browser startet auf Wunsch ein Fenster komplett in einer abgeschotteten Umgebung. Dazu müssen Sie zunächst in der Systemsteuerung unter „Programme und Features –› Windows-Features aktivieren oder deaktivieren“ vor die Option „Microsoft Defender Application Guard“ ein Häkchen setzen, mit „OK“ bestätigen und Windows neu starten. Achtung: Diese Option ist nur in den Pro- und Enterprise-Versionen von Windows 10 und 11 enthalten. Danach finden Sie in Edge rechts oben im Drei-Punkte-Menü den Eintrag „Neues Application Guard-Fenster“. Damit öffnen Sie den Browser in einer Sandbox, aus der nichts entkommen kann. Wenn Sie damit eine mit Malware verseuchte Seite im Internet öffnen, kann die Schadsoftware nicht auf Ihren PC überspringen. Mit dem Schließen des Edge-Fensters löschen Sie auch die Malware.

Schließlich enthält auch der Acrobat Reader eine Sandbox, die verhindert, dass schädliche Inhalte von einem PDF auf den Rechner gelangen. Die Sandbox ist bereits in der Voreinstellung aktiv, Sie finden die Funktion unter „Bearbeiten –› Einstellungen –› Sicherheit (erweitert)“. Im geschützten Modus der Sandbox von Acrobat, kann in PDF-Dokumente eingebettete Malware weder Anwendungsdateien ausführen noch in die Systemverzeichnisse von Windows oder in die Registry schreiben. Mit der Option „Dateien mit potenziell unsicherem Ursprung“ schränken Sie bei Files aus unsicheren Quellen zusätzlich die Bedienelemente des Reader ein. Er kann dann zwar PDFs anzeigen, viele weitere Funktionen sind jedoch deaktiviert. Außerdem zeigt er bei verdächtigen Files eine Warnung an.

(PC-Welt)