AVCheck wurde zerschlagen
Bildquelle: Screenshot Tarnkappe

AVCheck zerschlagen: Behörden schlagen zu, Szene rüstet nach

von Sunny Lesezeit: 5 Min.

Nach dem Bust von AVCheck steht die Szene Kopf. Lies jetzt, warum Counter-AV-Dienste nicht totzukriegen sind – und wie es weitergeht.

Inhalt

Am 30. Mai 2025 war Schluss. Das FBI, der US-amerikanische Secret Service und die niederländische Polizei schlugen zu und haben AVCheck hochgenommen. Die Server des beliebten Counter-Antivirus-Dienstes wurden beschlagnahmt, Wallets wurden eingefroren. Die Szene reagierte geschockt und sucht nun nach neuen Wegen für Malware-Testing. Doch ist das wirklich das Ende?

Was war AVCheck eigentlich?

AVCheck wurde hochgenommen – für viele Malware-Entwickler ist das ein harter Schlag. Vor allem Ransomware-Gangs, Botnet-Betreiber und Akteure staatlich gesteuerter Hackergruppen nutzten den Dienst intensiv. AVCheck war ein effizienter und günstiger Malware-Scanner, auch bekannt als Counter Antivirus Service (CAV). Damit konnten Cyberkriminelle ihre Schadsoftware bequem dahingehend testen, ob kommerzielle Antivirenlösungen darauf anschlagen. Dies geschah anonym, ohne Registrierung und ohne Weitergabe von Hashes oder Dateiinhalten an Plattformen wie z.B. VirusTotal.

AVCheck zerschlagen
So sah AVCheck mal aus.

Gerade diese Unsichtbarkeit war der große Vorteil. Denn wer nicht entdeckt wird, kann angreifen, ohne eine Signaturwelle auszulösen. Das Prinzip war simpel:

  • Datei hochladen.
  • In Sandbox-Farmen mit legitimen AV-Lizenzen scannen.
  • Ergebnisse als Ampelsystem: Grün = clean, Rot = erkannt.

Bezahlt wurde in BTC oder Monero, ohne dass es eine KYC-Prüfung (Know Your Customer) oder sonstige Fragen gab. Für 25 Dollar konnten die Hacker 100 Scans durchführen. Ein fairer Preis, wenn man den Schaden bedenkt, den die Dateien später anrichteten.

Der Bust im Detail

Seit dem 30. Mai zeigt avcheck[.]net nur noch das klassische Seizure-Banner des FBI, vom DOJ, des Secret Service und der niederländischen Polizei. Der Dienst wurde aber nicht einfach nur abgeschaltet. Man hat ihn komplett beschlagnahmt – inklusive der Server, Domains und Krypto-Wallets.

Sicherheitsbehörden sprechen von einem koordinierten Zugriff, bei dem man mehrere Server-Standorte gleichzeitig beschlagnahmt hat. Zudem ist von mindestens einer Festnahme in Rotterdam die Rede. Dabei soll es sich um eine Person handeln, die unmittelbar mit dem Betrieb von AVCheck in Verbindung stand.

💡Tipp für Sparfüchse:

Wenn du auf der Suche nach einem kompakten und vielseitigen Mini-PC bist, dann schau dir den GEEKOM Mini IT12 2025 Edition genauer an!
Mit dem Rabattcode TAIT122025 erhältst du 5 % Rabatt beim Kauf über Geekom.de* – aber nur für kurze Zeit!

Laut BleepingComputer war diese Aktion Teil der Operation Endgame, einer groß angelegten internationalen Strafverfolgungsmaßnahme, im Rahmen derer kürzlich 300 Server und 650 Domains beschlagnahmt wurden, die zur Ermöglichung von Ransomware-Angriffen genutzt wurden.

Das Vorgehen ähnelt früheren Aktionen:

Es ist immer das gleiche Muster. Die Infrastruktur wird einkassiert, ein Banner wird angebracht und die Szene wird verunsichert. Doch wie lange bleibt das wirksam?

AVCheck hochgenommen: Wer ist betroffen und was sind die Alternativen?

Nach dem man AVCheck hochgenommen bzw. zerschlagen hat, zieht sich eine Welle der Verunsicherung durch die Cybercrime-Szene. Zahlreiche Gruppen, die täglich auf unentdecktes Malware-Testing angewiesen waren, stehen plötzlich ohne verlässliches Werkzeug da. Wer bisher blind auf AVCheck vertraute, muss nun improvisieren oder in kostspielige Eigenlösungen investieren.

Besonders „hart“ trifft es Ransomware-Gruppen, Loader-Betreiber, APT-Akteure und natürlich Script Kiddies mit geringen Ressourcen.

Denn sie alle nutzten AVCheck für ihr unsichtbares Malware-Testing. Die Tools ermöglichten es, frühzeitig zu erkennen, ob ein Payload entdeckt wird. Und das, ohne dabei einen Alarm bei Sicherheitsfirmen auszulösen. Jetzt müssen viele umdenken oder zu teuren Alternativen greifen.

Trotz des Busts bleibt die Nachfrage nach Counter-Antivirus-Tests natürlich hoch. Hier einige Optionen – mit ihren Vor- und Nachteilen:

Neuer Hotspot Haken Einschätzung
raccoon.check (Beta) Nur 10 Engines, Invite-Only Wird bald überlaufen, vermutlich bereits auf Watchlists.
Geklaute VirusTotal-Keys 500 Calls/Tag, schnell gesperrt Für Einzelpersonen okay, für Gruppen unbrauchbar.
Loader-Tests (Bumblebee v5, etc.) Nur lokale AVs wie Defender/Kaspersky Funktioniert nur gegen einfache Signaturerkennung.
Eigene Cloud-Scanner Aufwand, Lizenzkosten Profis setzen längst auf Self-Hosted-Malware-Testing.

Counter-AV ist keine Website, sondern ein Konzept. Zwar kann man AVCheck zerschlagen, doch es wird ganz sicher nicht sehr lange dauern, bis zwei oder mehr neue Plattformen entstehen.

Wie lange wird es ruhig bleiben?

Die Ruhe wird nicht lange anhalten, das ist sicher! Unsere Einschätzung: Maximal 30 Tage, dann steht ein neuer Dienst bereit. Sobald ein Anbieter wie AVCheck zerschlagen wird, beginnt in der Szene eine Phase der schnellen Anpassung. Cyberkriminelle sind nicht nur kreativ, sondern auch gut vernetzt. Bereits jetzt kursieren in Telegram-Kanälen erste Hinweise auf neue Closed-Betas und Testplattformen.

💡VPN-Tipp:

Premium VPN-Schutz von hide.me jetzt günstiger!
Sichere dir hide.me für nur 2,39 €/ netto mtl. – anonym, schnell und ohne Buffering streamen.
Angebot jetzt sichern*

Der Bedarf an anonymem Malware-Testing bleibt hoch, da klassische AV-Systeme für Angreifer eine reale Bedrohung darstellen. Deshalb entstehen mit jedem Bust neue Ideen und Ableger. Erfahrungsgemäß dauert es nicht lange, bis jemand die Lücke schließt – technisch, organisatorisch und finanziell.

Hinzu kommt, dass die Gewinnmargen enorm sind. Wer einen solchen Dienst betreibt, verdient oft ein Vielfaches dessen, was ein durchschnittlicher Exploit einbringt. Das steigert die Motivation in der Szene zusätzlich. Zwar haben die Ermittler AVCheck zerschlagen, doch das Grundproblem ist damit nicht beseitigt.

Am Ende bleibt es ein Katz-und-Maus-Spiel, und mit dem Fall von AVCheck ist lediglich eine Runde vorbei. Die nächste läuft bereits!

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.

9 Kommentare lesen
Mehr zu dem Thema
Sunny

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.