256765

Wundersame Fortpflanzung von Fehlalarmen

26.05.2008 | 17:32 Uhr |

Fehlalarme von Antivirus-Programme gibt es immer wieder. Seltsam wird es jedoch, wenn gleich mehrere Virenscanner eine an sich harmlose Datei als infiziert ansehen. Aber wie kommt es dazu?

Wird in Programmdateien von einer Antivirus-Software eine vermeintliche Infektion mit einem Virus entdeckt oder die ganze Datei fälschlich als Trojanisches Pferd gemeldet, wird dies als Fehlalarm (englisch "false positive") bezeichnet. Das kommt immer wieder einmal vor und wird meist mit einem neueren Update der Virendefinitionen beseitigt. Finden jedoch gleich mehrere Virenscanner etwas an einer Datei auszusetzen, die an sich harmlos ist, muss mehr dahinter stecken.

Wie Pedro Bustamante von spanischen Antivirus-Hersteller Panda Security im Blog der Panda-Forschungsabteilung (http://research.pandasecurity.com) berichtet, tauschen die Hersteller untereinander Kopien von als schädlich erkannten Dateien aus. Die Virensignaturen werden weitgehend automatisiert erstellt, um der schieren Masse der Schädlinge noch Herr werden zu können, und so können sich Fehlalarme von einem Hersteller zum nächsten fortpflanzen.

Bustamante nennt als Beispiel ein Download-Programm des Spieleanbieters Legacy Interactive, der mit "Fenomen" eine ganze Serie von Spielen zum Download anbietet. Dies geschieht nicht mit einem einzelnen Download-Programm, sondern über eine Vielzahl von Varianten der gleichen Software. Für jedes Spiel und jeden Vertriebspartner gibt es einen eigenen Downloader - das ergibt über 200.000 Versionen des Programms. Sie verhalten sich im Grunde recht ähnlich wie die Malware-Downloader üblicher Trojanischer Pferde.

Ohne die Namen der anderen Antivirus-Hersteller zu nennen, zeigt Bustamante eine Statistik, laut der verschiedene Virenscanner zwischen 20.000 und 140.000 Varianten des Fenomen-Downloaders als potenziell schädlich erkennen. Das Problem liegt jedoch nach Ansicht von Pedro Bustamante nicht bei der heuristischen oder anderweitig proaktiven Erkennung als verdächtige Datei, sondern bei den statischen Virensignaturen.

Während erstere immer für einen Fehlalarm gut sind, sollten letztere eigentlich ein hundertprozentig sicheres Zeichen für vorhandene Malware liefern. Landen derart als Schädlinge qualifizierte Dateien im Dateiaustausch zwischen den Antivirus-Herstellern, pflanzen sich die Fehlerkennungen weiter fort. Daher sollten automatisch generierte Virensignaturen stets von Menschen verifiziert werden, fordert Bustamente. Für Anwender heißt das, sie sollten vom Virenwächter als schädlich gemeldete Dateien vorsichtshalber erstmal nur in die Quarantäne verschieben lassen, um sie im Fall eines Fehlalarms wieder herstellen zu können.

Beispiel für die Erkennung eines Fenomen-Downloaders durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

GAME/Dldr.Fenomen.Gen

Avast!

---

AVG

---

A-Squared

Adware.Win32.Virtumonde.rnh

Bitdefender

Trojan.Generic.278094

CA-AV

---

ClamAV

---

Command AV

---

Dr Web

---

eSafe

Trojan/Worm [101] (suspicious)

Ewido

---

F-Prot

W32/Fenomen.gen!Eldorado

F-Secure

---

Fortinet

Adware/VirtuMonde

G-Data AVK

not-a-virus:AdWare.Win32.Virtumonde.rnh

Ikarus

AdWare.Win32.Virtumonde.rnh

Kaspersky

not-a-virus:AdWare.Win32.Virtumonde.rnh

McAfee

Downloader-Fenomen.gen.c (potentially unwanted program)

Microsoft

---

Nod32

---

Norman

W32/Virtumonde.VSV

Panda

---

QuickHeal

---

Rising AV

---

Sophos

Fenomen Game Downloader (PUA)

Spybot S&D

---

Sunbelt

---

Symantec

---

Trend Micro

---

VBA32

AdWare.Win32.Virtumonde.rnh

VirusBuster

---

WebWasher

---


Quelle: AV-Test (http://www.av-test.de), Stand: 26.05.2008

0 Kommentare zu diesem Artikel
256765