Virustotal ist ein kostenloser Online-Service, wo jeder Anwender entweder direkt auf der Website, per E-Mail oder über eine gesicherte SSL-Verbindung verdächtige Dateien zur Überprüfung hochladen kann. Einmal die verdächtige Datei zu Virustotal.com geladen, nehmen in Echtzeit mehr als vierzig verschiedene Scan-Engines von verschiedenen Antiviren-Hersteller parallel ihre Arbeit auf und analysieren die Datei auf verdächtigen Code. Im Anschluss werden dem Nutzer verlässliche Ergebnisse, der zur Analyse gestellten Datei angezeigt.

Bildschirmfoto 2014-09-04 um 09.51.32

Virustotal.com

Sicherheitsexperten haben nur herausgefunden, dass die angesprochene Zielgruppe nicht nur diejenigen sind, die “nur” verdächtige Dateien überprüfen lassen möchten, sondern auch wie könnte es anders sein, der Dienst fleißig von Malware-Autoren genutzt wird. Dabei wird der Schadcode so lange über den Webdienst gejagt und wieder verändert, bis die eingesetzten Scan-Engines die Malware nicht mehr als solches erkennen und anschlagen.
Bildschirmfoto 2014-09-04 um 10.17.41

Scan-Ergebnisliste

Bei weiteren Untersuchungen fanden die Experten über die erweiterte kostenpflichtige Schnittstellen von Virustotal heraus, von wo auf der Welt regelmäßig diverse Malware hochgeladen wurde und identifizierten u.a. die chinesische Hackergruppe APT1, welche den Dienst schont seit mindestens 2012 regelmäßig nutzten und als Verursacher verschiedener weltweiten Phishing-Kampagnen bekannt ist.
Wenn man jetzt denkt, ist doch einfach die Malware-Autoren über diesen Weg ausfindig zu machen, der irrt sich hier. Cyberkriminelle sind stets bemüht unerkannt zu bleiben und befüttern bzw. verteilen Ihre Malware über verschiedene Command and Conrolserver, die Weltweit an verschiedenen Standorten postiert sind. Virustotal stellt über eine kostenpflichtige Schnittstelle, Forschern und Malware-Experten weiteres Datenmaterial zu Verfügung. Untersuchungen und Beobachtungen über längeren Zeitraum, Analysen des umfangreichen Datenmaterials führten die Experten letztendlich auf die Spur der Malware-Autoren.