secuteach-Logo
Direkt zu den Informationen über Computersicherheit oder zu den WebScanner–Tools   


[Ralph Dombach]  Infos vom Experten zum Experten – das hilft wirklich! 

Tools gegen Schadsoftware im Web!

Statistiken sagen aus, das mehr als 75% aller PC–Nutzer einen Virenscanner installiert haben. Mitunter wird ein solches Tool auch noch durch zusätzliche Schutzprodukte ergänzt.
Doch die auf dem eigenen System installierten Produkte können nicht im WWW genutzt werden. Um eine Webseite zu überprüfen, eine downloadbare Datei oder eine URL braucht es andere Werkzeuge. Nachfolgend eine Übersicht von empfehlenswerten (Online–)Services  für den Gebrauch im WWW.

Dateiscanner
Man ist sich nicht sicher, ob eine Datei, die man aus dem Web oder via FTP heruntergeladen hat, wirklich OK ist. Der auf dem eigenen PC installierte Virenscanner meldet zwar keinen Befund, aber man möchte mehr Sicherheit. Hier nutzt man dann einen (Multiple–)Dateiscanner. Diese Services überprüfen einen hochgeladene Datei mit mehreren AntiVirus–Produkten. Empfehlenswerte Tools sind:

  • VIRUSTOTAL Prüft mit mehr als 40 Produkten
    (Bitte Bereich "Upload a File" auswählen)
  • JOTTI Nutzt um die 20 unterschiedliche Produkte
  • VIRSCAN.ORG Nutzt 35 Produkte und prüft auch Datei–Archive
  • FILTERBIT Scannt eine Datei mit 10 verschiedenen Produkten
  • ThreadExert Dieser Service analysiert eine hochgeladenen Datei. Dabei wird das Verhalten der Datei ermittelt. Es gibt also keinen Meldung wie "Virus gefunden", sondern eine Aussage darüber, was die Datei im System macht. Vor Nutzung des ThreatExpert ist eine Registrierung erforderlich.
  • ––> Für Windows–Executables siehe ANUBIS unter URL–Analysen

URL–Scanner
Kann man die angegebene Webseite, auf der sich Gratis–Layouts befinden wirklich besuchen? Oder ist es nur eine geschickt platzierte Webseite, die dafür präpariert ist, virulente Software zu verteilen? Oder wurde diese Seite übernommen und nun sind Exploits installiert, die eine Browser–Schwäche ausnutzen wollen?
Antwort gibt ein URL–Scanner, der eine Webseite überprüft. Zu beachten ist dabei, das sich die Überprüfung i.d.R. auf die angegebene Webadresse oder die Einstiegsseite bezieht. Es ist kein Full–Scan in die Webseiten–Struktur! Etablierte Services sind:

  • URLVOID 16 unterschiedliche Scanner  überprüfen die Webseite
  • Dr.Web Der russische Anbieter geht auf Virenjagd
  • SAFEBROWSING Ein Klassiker, der Dienst von Google
    (Bei der URL nach "?site=" die zu prüfende URL eingeben)
  • LINK SCAN Mehrere Sub–Dienste kommen hier zum Einsatz
  • WebPage Scanner Das AVG–Tool im Einsatz
  • URL SCAN Die genutzten Sub–Tools sind unbekannt – ggf. Dr.Web
  • VIRUSTOTAL Die URL–Variante des oben genannten Dateiscanners
    (Bitte Bereich "Submit a URL" auswählen)
  • BROWSING PROTECTION Der URL-Checker von F–Secure

URL–Reputationsdienst
Eine Webadresse besteht  u.U. aus dutzenden oder hunderten von Einzelseiten, die unterschiedlichen Content anbieten. Eine andere Möglichkeit, zu erfahren, ob eine Webadresse GUT oder BÖSE ist, ist die Reputation. Dabei speisen verschiedene Quellen die Reputation, deren Bestandteile i.d.R. nicht öffentlich bekannt gemacht werden. Dies gilt auch für den Zeitpunkt, an dem die Reputation zuletzt aktualisiert wurde!
Bitte beachten, Reputations–Services, die als WWW–Dienst angeboten werden, haben u.U. Probleme, verschleierte URLs aufzulösen (mitunter auch Kurz–URLs). Steht aber eine normale URL zur Verfügung, sind i.d.R. die Ergebnisse sehr zuverlässig! Renommierte Services findet man unter:

  • SAFEWEB Der Service von Symantec/Norton
  • TRUSTED SOURCE Der "große" McAfee–Service, mit mehreren Reputationsbasen
  • SITE ADVISOR Der Web–Dienst von McAfee – hierzu gibt es auch ein Browser–Plugin für die permanente Reputations–Prüfung von URLs
  • URL ANALYSYS Der Service von M86 (Derzeit nicht erreichbar; Feb. 2011)
  • WEBUTATION Der Kombi–Service, der mehrere Ressourcen nutzt
  • SUCURI Site–Check "Free Scan" selektieren. Auch als kommerzielle Lösung verfügbar
[URL–Reputationsdienste sind auch als dauerhafte Lösung via Browser–Plugin verfügbar. Gängige Services sind z.B. McAfee–Siteadvisor, Web Of Trust, Trend Micro–TrendProtect oder M86–SecureBrowsing.]

URL–Analysen
Analysedienste beschreiten einen anderen Weg, um herauszufinden, ob eine Webseite OK ist. Dabei wird in einer virtuellen Umgebung der Zugriff auf die Webseite emuliert und nachfolgend analysiert, was sich im virtuellen System verändert hat (vereinfacht gesagt). Ein Analyseergebnis kann u.U. erst nach +10 Minuten vorliegen. Die Aussagen sind detailliert und zuverlässig – müssen aber u.U. noch interpretiert werden (Fachwissen erforderlich). Öffentliche Services sind:

  • Wepawet Bietet eine komprimierte, verständliche Analyse (ggf. lange Laufzeit)
  • ANUBIS Ein ansprechendes System, welches auch zur professionellen Analyse von Malware genutzt wird. ANUBIS untersucht eine Webseite oder alternativ eine hochgeladene, ausführbare Windows–Datei.
Automatisierte–Checks
QUALYS, ein amerikanisches Unternehmen bietet einen Gratis–Check an (Free–Tools and Trials), der einmal wöchentlich eine URL überprüft, ob diese "Blacklisted" ist – also z.B. in öffentlichen Reputationsdatenbanken als BÖSE hinterlegt ist. Dieser Service bietet sich für alle Webseiten–Betreiber als Basis–Überwachung an.

Diverse Lösungen
Websense ACEInsight, bietet verschiedene Checks für eine Webseite an. In der Gratis–Version des Tools ist auch ein Malware–Scan enthalten.
Nach Eingabe der zu prüfenden URL das Ergebnisfenster abwarten , etwas nach unten scrollen und das siebte Icon von links anwählen.

Bitte beachten!
Alle hier vorgestellten Security–Services sind sehr ausgereift, zuverlässig und technisch auf einem hohen Niveau. Trotzdem kann eine 100%–Sicherheit nicht garantiert werden! Bitte beachten Sie auch die Hinweise des ISC (Internet Storm Center) in einem BLOG–Beitrag bzgl. Schwarze Schafe unter den Offerten.

Risiko


Das WWW ist eine sehr dynamische Welt. Webseiten schießen zu aktuellen Themen, wie Pilze aus dem Boden, um nur Stunden später wieder in der Versenkung zu verschwinden. Diese Dynamik bringt interessante Resultate und eine Unmenge an Wissen an den Tag – aber leider auch Gefahren.
Schaubild
Scheinbar seriöse Webseiten werden aufgrund einer Schwachstelle (Vulnerability) übernommen und zu Viren–Schleuder umprogrammiert. Wer ohne aktive Schutzprogramme im WWW unterwegs ist, geht ein unkalkulierbares Risiko ein!

Gegen eine Vielzahl von Bedrohungen bieten Virenscanner einen guten Schutz. Ergänzende Sicherheit bieten die nebenstehenden Produkte, die speziell für den Einsatz im WWW konzipiert wurde.


Empfehlung

Wer eine eigene Webseite bereitstellt, sollte diese periodisch auf Ungereimtheiten überprüfen und kontrollieren, ob die eigene URL kein Sicherheitsrisiko darstellt.