com!-Academy-Banner

Hilfe Virus! Was tun?

Informationen sammeln

von - 16.09.2011
Virenfund: Notieren Sie den Namen der infizierten Datei. Lassen Sie die Datei dann von der kostenlosen Webseite Virustotal (www.virustotal.com) untersuchen (Bild 1).
Virenfund: Notieren Sie den Namen der infizierten Datei. Lassen Sie die Datei dann von der kostenlosen Webseite Virustotal untersuchen
Der erste wichtige Schritt nach einem Virenfund ist die Suche nach weiteren Informationen über den Schädling. Dazu zählen insbesondere die verschiedenen Bezeichnungen, unter denen er erkannt wird, sowie die Anzahl der Kopien, die er von sich erstellt, und die Information, wo er sie ablegt. Dabei sind besonders die beiden Webseiten Virustotal und Threat Expert nützlich.
Als Beispiel dient eine Infektion mit dem Trojaner Bredolab, der sich vor allem über E-Mails und verseuchte Anhänge verbreitet.

1. Check mit Virustotal

Check mit Virustotal: In diesem Beispiel stufen 39 von 42 Virenscannern die hochgeladene Datei als schädlich ein (Bild 2).
Check mit Virustotal: In diesem Beispiel stufen 39 von 42 Virenscannern die hochgeladene Datei als schädlich ein
Oft sind die Warnfenster der Virenscanner nicht sehr aussagekräftig. So meldet etwa Avast beim Versuch, eine mit Bredolab verseuchte Datei zu öffnen, eine Infektion mit „Win32:Trojan-gen“. Diese Bezeichnung ist sehr ungenau und beweist eigentlich nur, dass Avast nicht genau weiß, um welchen Virus es sich handelt. Erst ein Scan mit Virustotal zeigt, unter welchen Namen der Schädling bereits bekannt ist.
So geht’s: Verschieben Sie die fragliche Datei deshalb nicht sofort in die Quarantäne — von Avast „Container“ genannt. Laden Sie den Schädling auf Virustotal hoch und lassen Sie ihn dort von 42 Virenscannern prüfen.
Das Ergebnis ist im Fall von Bredolab eindeutig: Rund 39 der bei Virustotal eingebundenen Virenscanner haben den Schädling erkannt und in den meisten Fällen auch eine eindeutige Bezeichnung zurückgemeldet. Besonders häufig tauchen in der Liste sowohl die Bezeichnung „Bredolab“ als auch „Oficla“ auf. Es lohnt sich also, nach diesen Begriffen weiter zu suchen.
Vireninfos von Kaspersky: In der kostenlosen Online-Datenbank erfahren Sie, aus welchen Dateien der Virus besteht (Bild 3).
Vireninfos von Kaspersky: In der kostenlosen Online-Datenbank erfahren Sie, aus welchen Dateien der Virus besteht
Weniger eindeutig ist das Ergebnis, wenn nur eine Handvoll Virenscanner bei Virustotal die von Ihnen hochgeladene Datei als Schädling einstufen. In diesem Fall sollten Sie die fragliche Datei bei Threat Expert hochladen, wie im übernächsten Abschnitt beschrieben. Vergessen Sie aber nicht, den Schädling nach den Tests in die Quarantäne zu verschieben. 

2. Recherche im Internet

Die Virennamen, die Sie über Virustotal herausgefunden haben oder die Ihr Virenscanner gemeldet hat, dienen dazu, weitere Informationen und Tipps im Internet aufzuspüren.
So geht’s: Geben Sie die Namen einfach bei Google ein und rufen Sie einige der Ergebnisse auf. Speziell in Online-Foren finden sich oft gute Tipps zur Bereinigung.
Eine hilfreiche Informationsquelle ist auch die große Virendatenbank von Kaspersky Lab. Allein zu Bredolab finden sich in dieser Datenbank mehr als 9000 Einträge. Klicken Sie auf einen Eintrag, um zum Beispiel zu erfahren, welche Dateien der Schädling anlegt. 

3. Test mit Threat Expert

Die Webseite Threat Expert (www.threatexpert.com) startet jede hochgeladene Datei in einer abgeschotteten Sandbox. Dort wird die Datei analysiert und von mehreren Virenscannern überprüft (Bild 4).
So geht's: Die Webseite Threat Expert startet jede hochgeladene Datei in einer abgeschotteten Sandbox
Threat Expert ist ein kostenloser Online-Dienst, der hochgeladene Dateien in einer abgeschotteten Sandbox ausführt und analysiert. Zusätzlich prüft Threat Expert die Datei mit mehreren Virenscannern. Aus den Ergebnissen erstellt der Dienst einen ausführlichen Report, der viele nützliche Informationen zu dem Schädling enthält.
So geht’s: Senden Sie die fragliche Datei über Submit your sample an Threat Expert. Nach wenigen Minuten erhalten Sie eine E-Mail mit einem Link zu dem Prüfergebnis. Außerdem ist der Nachricht eine Datei im ZIP-Format angehängt, die den kompletten Bericht enthält. Das Passwort, um dieses Archiv zu öffnen, lautet threatexpert.
Verwandte Themen