7 webværktøjer til at scanne URL'er for malware

Et enkelt forkert klik kan være alt, der skal til. Ét øjeblik surfer du fredeligt på nettet - i det næste er din browser kapret, dine filer krypteret, eller virksomhedens data kompromitteret

Cyberkriminelle udnytter dagligt uskyldige links i mails, chats og sociale medier, og selv de mest rutinerede brugere kan falde i fælden.

Heldigvis behøver du ikke installere tung sikkerhedssoftware eller være kommandolinje-ninja for at beskytte dig. En stribe gratis webværktøjer kan på få sekunder afsløre, om et link gemmer på malware, phishing eller anden skadelig aktivitet. Du indtaster blot URL’en - resten klarer skyen.

I denne artikel dykker vi ned i syv af de bedste onlinescannere, fra allround-klassikeren VirusTotal til de mere nicheprægede Zulu og Quttera. For hvert værktøj viser vi, hvordan du bruger det, hvor det skinner, og hvor det kommer til kort - så du kan vælge den rigtige kombination til netop dine sikkerhedsbehov.

Uanset om du er IT-administrator, webshop-ejer eller bare vil holde din families pc’er rene, får du her den komplette guide til hurtig URL-triagering. Klar til at klikke sikkert? Lad os komme i gang!

7 webværktøjer til at scanne URL'er for malware

VirusTotal: Multi-engine URL-scanning og omdømme

VirusTotal er i praksis schweizerkniven blandt gratis URL-scannere. Tjenesten sammenligner den indsendte adresse mod mere end 70 antivirus- og blacklist-motorer samt en række heuristiske analyser. Resultatet er en hurtig, bred og relativt pålidelig indikation af, om en URL er skadelig.

  1. Indsend URL’en
    Besøg virustotal.com, vælg fanen URL, indsæt adressen og tryk Enter. Du kan også:
    • Højreklikke på et link i browserudvidelsen VT4Browsers → “Scan with VirusTotal”.
    • Bruge REST-API’en (/url/scan) fra scripts/CI-pipelines.
  2. Forstå resultatsiden
    • Detektioner: Oversigtsbjælken viser hvor mange motorer der markerer URL’en som malicious, phishing eller lignende (5/74 betyder 5 ud af 74).
    • Redirect-kæde: Fanen Details → HTTP transactions lister alle 3xx-hops, så du ser skjulte omdirigeringer til f.eks. exploit-kits.
    • Relaterede downloads: Hvis URL’en leverer filer, vises hash-værdier og analyser af disse i fanen Downloaded files.
    • Community: Brugere kan stemme Harmless/Malicious og tilføje kommentarer med IOC’er, afværgemetoder mm.
Styrker Begrænsninger
  • Bred dækning: +70 motorer (AV, sandbox, phishing-lister, ML).
  • API: Automatiserede forespørgsler (500/dag på gratis-plan).
  • Historik & tidslinjer for domæne/IP, hvilket hjælper ved threat hunting.
  • Helt gratis til basal brug; betal kun hvis du har brug for højere rate-limits eller avancerede funktioner.
  • Indsendte URL’er og tilknyttede filer gemmes offentligt; følsomme interne links bør ikke uploades.
  • Nogle motorer kan give false positives - se altid på kontekst og antal.
  • Ingen fuld dynamisk analyse af server-side kode; skjulte payloads kan overses.

Bedste anvendelser:

  • Hurtig first-pass triagering af mistænkelige links i e-mails, chats og logfiler.
  • Automation i SOC-playbooks: “Er URL’en allerede kendt ond?” → beslut om yderligere sandboxing.
  • Validering af trusselsfeed før blokering i firewalls/proxyer.

Konklusionen er klar: Brug VirusTotal som det første filter, kombinér derefter med mere dybdegående værktøjer, hvis en URL stadig ser tvivlsom ud.

Google Transparency Report (Safe Browsing): Autoritativt blacklist-tjek

Hvis du vil vide, om en bestemt URL eller et helt domæne figurerer på Googles Safe Browsing-lister, er Google Transparency Report - Safe Browsing Search den hurtigste indgang.

Sådan gør du:

  1. Besøg linket ovenfor.
  2. Indtast den fulde URL - eller kun domænet, hvis du vil tjekke hele sitet.
  3. Tryk Enter og læs resultatet:
    • Ingen usikre indholdsfund: URL’en betragtes som sikker i Googles økosystem.
    • Malware: Google har registreret distribution af ondsindet kode.
    • Uønsket software: Siden forsøger at installere eller narre brugere til at installere potentielt skadelig software.
    • Phishing: Siden efterligner en anden tjeneste for at stjæle legitimationsoplysninger.

Fordele ved Googles Safe Browsing-tjek:

  • Autoritativ kilde: De samme lister anvendes af Chrome, Firefox, Safari, Android og Google Ads, så et grønt lys herfra har høj vægt.
  • Realtidsopdateringer: Listerne opdateres konstant, hvilket gør det til et aktuelt snapshot.
  • Ingen konto nødvendig: Hurtigt opslag uden login eller API-nøgler.

Begrænsninger at kende:

  • Rapporten er binær: “sikker” eller “usikker”. Der gives ikke tekniske detaljer om hvad der konkret blev fundet.
  • Historik vises ikke; et site kan have været blokeret tidligere uden at det fremgår.
  • Fanger kun det, der er observeret af Google - ikke nødvendigvis helt nye, målrettede angreb.

Tips til siteejere - brug Search Console:

  • Verificér dit domæne i Google Search Console.
  • Under Sikkerhedsproblemer får du mere detaljeret information, hvis dit site er flaget.
  • Udbedr problemet (fjern inficerede filer, patch CMS, skift adgangskoder) og anmod derefter om en Genovervejelses­anmodning. Google gennemscanner og ophæver advarslen, når alt er rent.
  • Aktivér e-mail-alarmer i Search Console, så du bliver notificeret, hvis fremtidige problemer opstår.

Kombinér altid Googles autoritative blacklist-tjek med mere dybdegående værktøjer (fx VirusTotal eller Sucuri), så du både får “ja/nej”-svaret og de tekniske detaljer bag fundene.

URLVoid: Hurtig domæne- og omdømmeprofil

URLVoid er et af de hurtigste værktøjer, når du blot skal have et overblik over, hvorvidt et domæne ser mistænkeligt ud. I stedet for at køre tunge sandbox-analyser, samler tjenesten resultater fra mere end 30 kendte blacklist- og omdømmefeeds (bl.a. Spamhaus, PhishTank og Comodo) og præsenterer dem i én samlet rapport. Processen tager sjældent mere end et par sekunder.

Sådan bruger du urlvoid

  1. Gå til urlvoid.com og indtast et domænenavn - fx eksempel.dk.
  2. Klik på Scan Now. Værktøjet forespørger de tilknyttede tredjeparts-databaser i realtid.
  3. Resultatet præsenteres som et Risk Score (0-100). Et score på 0 betyder ingen fund, mens højere tal svarer til flere blacklist-hits.

De vigtigste datapunkter i rapporten

  • Blacklist Status - visning af hvilke feeds der markerer domænet som farligt. Klik på hvert feed for detaljer.
  • WHOIS - registrant, oprettelsesdato, fornyelsesdato. Gammelt domæne kan indikere legitimitet; nyligt oprettede domæner bruges ofte i kampagner.
  • DNS & Nameservers - hurtig kontrol af om domænet benytter ‘bullet-proof’ eller kendte bad actor-hosters.
  • SSL-certifikat - udsteder, gyldighedsperiode og om certifikatet matcher domænet.
  • Geolocation - hvor IP’en fysisk er placeret. Uventede jurisdiktioner kan være et risikoflag.

Hvornår giver urlvoid mest værdi?

  • Første triage af ukendte links i mails, chat eller bilag - især når tiden er knap.
  • Leverandør- og partnerkontrol: Sikrer, at eksterne domæner ikke allerede er kendt for spam eller malware.
  • Threat hunting & OSINT-opslag: Kombinér WHOIS-, DNS- og IP-historik med andre værktøjer for at kortlægge infrastruktur.
  • Helpdesk-brug: Ikke-tekniske medarbejdere kan hurtigt tjekke et domæne uden at installere software.

Begrænsninger, du skal kende

URLVoid downloader ikke selve websiden eller kører kode i en sandbox. Det betyder:

  • Ingen dyb analyse af JavaScript, exploits eller drive-by downloads.
  • Undgår at afsløre server-side skadelig kode, som kun aktiveres under bestemte betingelser.
  • Undlader at tjekke individuelle URL-stier (fx /login.php?user=…); alt sker på domæneniveau.

Brug derfor URLVoid som et hurtigt termometer. Viser det rødt, bør du følge op med mere avancerede værktøjer som VirusTotal, Sucuri eller en sandbox-løsning.

Tip: Automatisér med api’et

URLVoid tilbyder et gratis API (op til 100 forespørgsler/dag), som let kan integreres i SIEM-workflows eller egne scripts:

curl "https://endpoint.apivoid.com/urlvoid/v1/pay-as-you-go/?key=API_KEY&host=eksempel.dk"

Svarformatet er JSON og indeholder samme felter som webrapporten, så du kan indbygge automatisk blokering eller berigelse direkte i din playbook.

Sucuri SiteCheck: Webside-malwarescan og CMS-sårbarheder

Når du indtaster en URL på Sucuri SiteCheck, foretager tjenesten en ekstern gennemsøgning af websiden og dens underressourcer. Resultatet præsenteres i en overskuelig rapport med fem kerneområder:

  • Malware - signaturbaseret detektion af kendte ondsindede scripts, JavaScript-injektioner, iFrames, cryptominers m.m.
  • Blacklist-status - krydstjek mod blandt andet Google Safe Browsing, Norton Safe Web, PhishTank og Opera.
  • Out-of-date software - versionstjek af CMS (WordPress, Joomla!, Drupal osv.) samt populære plugins/temaer.
  • Website errors - HTTP-fejl, mixed-content og mis­kon­figurerede headers, som ofte er følgefejl efter et kompromitteret site.
  • SEO-spam - søgemaskine-keyword-injektioner, pharma-links og cloaked redirects, der kan skade sitets omdømme i søgeresultater.

Hvorfor er det godt til WordPress og mindre virksomheder?

  • 100 % gratis og kræver ingen registrering - et hurtigt første-tjek for travle SMB-ejere.
  • Ekstra værdi for WordPress: rapporten genkender hundredvis af populære WP-plugins og markerer dem, hvis de er forældede eller kendt sårbare.
  • Mulighed for scheduled scanning og post-hacked cleanup via Sucuris kommercielle platform, hvis man senere vil opgradere.

Begrænsninger og mulige blind spots

  • Da scanningen foregår udefra, opdager den ikke server-side backdoors, PHP-shells eller database-injektioner, som kun viser sig for bestemte bruger-agenter.
  • Angribere kan cloake malware, så det kun leveres til søgemaskine-crawlere eller specifikke IP-ranges. Dermed kan SiteCheck give et “rent” resultat, selvom siden er kompromitteret.
  • Scanning af store eller dybt linkede sites begrænses til et fast antal URL’er; dybtliggende infektioner kan derfor gemme sig.

Tip: Kombinér den eksterne test med en intern fil- og database-scanning (fx Sucuri Security- eller Wordfence-plugin til WordPress) for at minimere risikoen for falsk-negative.

Skulle SiteCheck bekræfte et hack, kan du med ét klik blive henvist til Sucuris Incident Response & Malware Removal-tjeneste. Her tilbyder de 24/7-rensning, WAF-beskyttelse og løbende overvågning - mod betaling, men med fast pris og money-back-garanti på rensningen.

Quttera Web Malware Scanner: Dybanalyse af inficeret indhold

Quttera er en skybaseret scanner, der ikke blot tjekker om den indsendte URL er på en sortliste - den dissekerer selve indholdet. Tjenesten henter siden, følger interne links og analyserer hele DOM-træet for spor af:

  • Ondsindede eller skjulte <script>-blokke
  • Usynlige iframes og overlappende lag
  • Obfuskeret JavaScript (hex-, base64- eller eval-kæder)
  • Eksterne kald til kendte exploit-kits eller command-and-control-domæner

Motoren sammenholder fundne mønstre med både signaturbaserede regler og heuristik, hvilket betyder at den ofte fanger helt nye injektioner - også når koden er kraftigt sløret eller indlejret i legitime filer som CSS eller JSON.

Rapportens opbygning

  • Sandsynlig malware - høj risiko; kendte payloads, ondsindede links eller verificerede exploits er lokaliseret.
  • Mistænkelig - atypisk eller obfuskeret kode fundet; kræver manuel validering.
  • Ren - ingen åbenlyse spor af infektion, og siden figurerer ikke på større blacklister.

Hver sektion ledsages af præcise fil- og linjenumre, så udviklere kan springe direkte til det potentielle problem. Desuden kan du downloade en detaljeret PDF eller CSV til compliance-rapportering.

Styrker

  • Fanger klient-side injektioner, der ofte glider under radaren hos rendyrkede blacklist-tjenester.
  • Kan afsløre “drive-by” angreb skjult i annoncer, tredjeparts-widgets eller CDN-ressourcer.
  • Gratis niveau giver fuld rapport, og API’en gør det muligt at automatisere scanning i en CI/CD-pipeline.

Begrænsninger

  • False positives: Aggressive heuristikker markerer somme tider minificerede eller krypterede scripts, der reelt er harmløse.
  • Kun remote scanning - server-side malware (f.eks. backdoors i PHP) der ikke leveres til browseren, opdages typisk ikke.
  • Hvis websitet blokerer for bots eller kræver login, kan Quttera returnere en “Inaccessible” status i stedet for et resultat.

Derfor bør Quttera anvendes som en første, dybdegående indholds­analyse og dernæst suppleres med log-gennemgang og server-side skannere, hvis der stadig er mistanke om kompromittering.

Norton Safe Web: Brugerfeedback og realtidsadvarsler

Norton Safe Web er Symantecs omdømmetjeneste, der tjekker URL’er mod et globalt trussels-intelligence-netværk og præsenterer resultatet som en enkel trafikløs-farve:

Farve Rating Betydning
Grøn Safe Ingen kendte trusler. URL’en er testet og vurderet sikker.
Orange Caution Mulige risici (fx mistænkelige scripts eller tvivlsomt omdømme).
Rød Warning Bekræftet malware, phishing, scam eller anden skadelig aktivitet.

Sådan klassificeres et site

  1. Automatiske crawler-tests: Norton’s sandboxingsystemer besøger siden, analyserer drive-by downloads, exploit-kits, usikre scripts, falske formularer m.m.
  2. Global telemetri: Data indsamlet fra millioner af Norton-slutpunkter viser, om downloads eller processer fra domænet er blevet blokeret andre steder.
  3. Community-anmeldelser: Brugere kan stemme og skrive anmeldelser, der flagger vildledende indhold, aggressiv reklame eller social engineering, som maskinerne ikke altid fanger.

Integration i browseren

  • Norton Safe Web-udvidelsen til Chrome, Firefox, Edge & Safari markerer søgeresultater og links med farvet ikonetikette.
  • Ved klik på et link udføres et realtids-kald til Norton’s cloud; er adressen farlig, vises en blokside med detaljer om den påviste trussel.
  • I Norton 360 er Safe Web indbygget og kan udvide beskyttelsen til social-media feeds og e-mail-links.

Hvornår er omdømmedata nyttige?

Omdømmebaserede vurderinger er særligt praktiske, når du:

  • Skal lave en hurtig “sikker / ikke-sikker” vurdering uden at besøge siden.
  • Undersøger non-malware risici som svindelbutikker, crypto-scams eller aggressive pop-ups, som brugerne ofte rapporterer før de bliver teknisk klassificeret.
  • Vil beskytte mindre tekniske kolleger - de farvede ikoner er letforståelige og kræver ingen tolkning af logfiler.

Derfor bør du kombinere med teknisk scanning

  • Forsinkelse i databasen: Tiden fra første infektion til omdømmeopdatering kan være timer eller dage - zero-day domæner kan slippe igennem.
  • Begrænset dybde: Safe Web analyserer primært front-end indhold. Server-side payloads (f.eks. leveret kun til bestemte User-Agents) kan blive overset.
  • Bias i brugerfeedback: Brugeranmeldelser kan være forældede, subjektive eller mål for “review-bombing”.

Kør derfor Norton Safe Web parallelt med tekniske værktøjer som VirusTotal eller Zscaler Zulu, der tilbyder multi-engine scanning eller heuristisk indholdsinspektion. Kombinationen giver både et hurtigt risikosignal og et dybere, evidensbaseret billede.

Tip til webstedsejere: Får din side en negativ rating, kan du oprette en gratis Norton-konto og anmode om re-evaluation. Efter rettelser foretages et nyt crawl, og ratingen kan løftes.

Zscaler Zulu URL Risk Analyzer: Heuristik og indholdsbaseret risikoscore

Zulu URL Risk Analyzer fra Zscaler skiller sig ud fra de klassiske “er-URL’en på en sortliste?”-tjenester ved at regne sig frem til en dynamisk risikoscore. Scoren spænder typisk fra 0 (ren) til 100 (meget farlig) og beregnes i realtid ud fra en lang række signaler:

Signal Eksempler på detektering Vægt i score*
Sideindhold Obfuskeret JavaScript, eval()-kæder, drive-by-download-payloads Høj
HTML-struktur Skjulte iFrames, usynlige formularfelter, forhøjet brug af iframes fra andet domæne Middel-høj
Eksterne referencer CDN’er/domæner kendt for phishing, IP’er i botnet-blokkeringer, Coin-miner scripts Middel
Domænehistorik Nyregistreret domæne, manglende WHOIS-data, usædvanlige TLD’er Middel
Adfærd / sandbox-resultat Automatisk download, omdirigering til kendte exploit-kits, geotargeting Høj
*Zscaler oplyser ikke præcise vægte; tabellen er baseret på publikations-whitepapers og feltobservationer.

Sådan bruger du zulu

  1. Gå til zulu.zscaler.com (gratis registrering kræves).
  2. Indtast den fulde URL. Tip: Har adressen følsomme GET-parametre, så erstat værdierne med “xxxx” for at beskytte data-Zulu analyserer mønstre, ikke nøjagtigt indhold.
  3. Klik Analyze og vent 5-30 sekunder.
  4. Gennemgå de farvekodede sektioner Content, Domain og URL. Hver sektion får sin egen delscore, som tilsammen udgør totalscoren.
  5. Gem eller del permalinket (resultater er private i 30 dage, herefter slettes de automatisk).

Styrker

  • Zero-day-fokus: Fordi scoren baseres på heuristikker og adfærd, kan Zulu fange nyligt registrerede phishing-sider og obfuskeret skadevare, før de havner på officielle blacklister.
  • Kontekst: Delrapporter viser præcis hvorfor URL’en er mistænkelig (kald til suspekt IP, krypteret JavaScript osv.). Det giver bedre beslutningsgrundlag end en simpel “blokeret/ikke blokeret”.
  • API-adgang: Betalingstierne tilbyder REST-API til CI/CD-scanner eller SIEM-integration.

Begrænsninger & bedste praksis

  • Da Zulu ikke deler komplette signatur-lister, kan visse resultater virke “sorte bokse”. Brug derfor flere værktøjer for transparens.
  • Scanningen er ekstern-server-side kun skjult malware (f.eks. ved cookie-gating) kan glide under radaren.
  • Kombinér altid Zulu med klassiske blacklist-checks (f.eks. VirusTotal, Google Safe Browsing) for at balancere heuristik og signatur-baseret detection.
  • Mulighed for false positives: Nyoprettede men legitime landing-pages scorer indimellem højt; verificér manuelt eller via andre kilder, inden domænet lukkes ned.

Brugt korrekt giver Zscaler Zulu URL Risk Analyzer et hurtigt, heuristisk “øjebliksbillede” af en webadresses risikoprofil og kan dermed være den manglende brik, der fanger zero-day phishing-kampagner, som endnu ikke figurerer på de traditionelle sortlister.

Indholdsfortegnelse