Virenjagd: VirusTotal flexibler nutzen per Kommandozeile

Googles Online-Dienst VirusTotal (VT) ist die wohl beliebteste Anlaufstelle für Malware-Scans durch Privatanwender wie auch Profis. Über das Webinterface kann man einzelne Dateien oder verdächtige URLs mit wenigen Klicks übermitteln. VT durchleuchtet sie mit Scan-Engines mehrerer Anbieter, führt zusätzlich dynamische und statische Analysen durch und bündelt alle Informationen in einem ausführlichen Report.

Jenseits einfacher Anwendungsfälle stößt die grafische Oberfläche des Dienstes jedoch schnell an ihre Grenzen. Zum Beispiel dann, wenn Sie bei akutem Schadcode-Befall möglichst zügig nicht nur eine einzelne Datei, sondern gleich den Inhalt eines ganzen Ordners scannen wollen. Oder wenn Sie im Zuge einer Kompromittierung wissen möchten, ob einige der verdächtigen IP-Adressen aus Ihren Logfiles bereits bei früheren VT-Analysen aufgetaucht sind.

Das „VirusTotal Command-Line Interface“, kurz: vt-cli erspart Ihnen in solchen Situationen zeitraubende Einzel-Uploads beziehungsweise -Suchanfragen. Das auf der Kommandozeile basierende Hilfstool entkoppelt die VirusTotal-Funktionen vom Webinterface, indem es direkt auf das zugrundeliegende API zugreift. So können Sie mittels einfacher Terminal-Befehle die von VT gewohnten Scan- und Suchfunktionen nutzen und überdies den Output Ihren individuellen Bedürfnissen anpassen.

Wie Sie mit dem für Linux, Windows und macOS verfügbaren Gratis-Tool schnelle Batch-Scans umsetzen, Ergebnisse filtern und die VT-Plattform gezielt nach relevanten Bedrohungsinformationen durchsuchen können, erklärt dieser Artikel. Außerdem vermittelt er einen ersten Eindruck davon, wie Entwickler vt-cli zum Skripten von VirusTotal-Abfragen nutzen können, ohne sich mit Interna der Programmierschnittstelle zu befassen.

Herunterladen und einrichten

vt-cli ist ein offizielles VirusTotal-Projekt, dessen Quellcode bei GitHub gehostet wird. Am schnellsten bringt man es auf dem eigenen System zum Laufen, indem man auf die fertig kompilierten Binaries zurückgreift. Die stehen zum Veröffentlichungszeitpunkt dieses Artikels in Version 1.2.0 zum Download bereit.

Eine Installation ist nicht notwendig: Nach dem Extrahieren der Standalone-Anwendung „vt“ kopieren Sie diese einfach in das gewünschte Verzeichnis und starten sie mit dem Kommandozeilenbefehl vt init. In unserem Testdurchlauf mit Windows 11 sowie mit einer frischen Installation des Debian-basierten Kali Linux in VirtualBox klappte das jeweils problemlos. Wer das in der Sprache Go programmierte Projekt lieber selbst kompilieren möchte, folgt der Kurzanleitung in der Readme.MD.

In der vt-cli-Dokumentation tummeln sich Anwendungsbeispiele, die die bereitgestellten VirusTotal-Funktionen auf clevere und praktische Weise mit Unix-Befehlen wie cat oder grep kombinieren. Um diese Beispiele unverändert unter Windows übernehmen zu können, raten die vt-cli-Entwickler zur zusätzlichen Installation der freien Laufzeitumgebung Cygwin. Das Cygwin-Terminal versteht Unix-Befehle und bietet laut vt-cli-Team zudem Performance-Vorteile gegenüber der Standard-Windows-Konsole bei der Ausgabe großer Textmengen.