Viren, Viren, Viren?!

Hallo,
in letzter Zeit bekomme Ich wieder des öfteren Mails in denen darauf hingewiesen wird, das sich ein Virus im xp-AntiSpy befände.
Es passiert immer mal wieder das Virenscanner anschlagen obwohl sich kein Virus in dem untersuchten Programm befindet. Sogar wichtige Bestandteile des Betriesssystems werden manches mal für verdächtig gehalten und gesperrt oder im schlimmsten Fall gelöscht. Das sind im allgemeinen so genannte ‚False Positives‘, also Falscherkennungen des jeweiligen Virenscanners. Auch in der Vergangenheit wurde der xp-AntiSpy schon von diversen Virenscannern als vermeintlich ‚böses Stück Software‘ erkannt. Bisher gab es aber faktisch noch keinen wirklichen Virenbefall des xp-AntiSpy.

Für die Erstellung des Installationsprogramms benutze ich eine Software die extra für solche Aufgaben geschrieben wurde. Somit spare ich mir das Rad neu zu erfinden und kann dem Benutzer eine einfache Installation im System ermöglichen. Diese Software, die ich benutze nennt sich ‚NSIS‚ (Nullsoft Installer System). Diese Software ist quelloffen (freie Software) und wird auch von diversen anderen Projekten genutzt. Es kommt immer wieder vor, dass NSIS von diversen Virenscannern der ‚Virenträgerschaft‘ verdächtigt wird. Wer mal im Netz nach NSIS und Virus sucht, wird etliche Resultate präsentiert bekommen.

Bisher wurde der eigentliche xp-AntiSpy (also die Datei xp-AntiSpy.exe) noch nie verdächtigt, einen Virus in sich zu tragen. Ausserdem prüfe ich die Dateien, bevor ich sie ins Netz stelle, immer auf Viren. Dazu habe ich natürlich auf dem Entwicklungssystem einen immer aktuellen Virenscanner zu laufen und zusätzlich schicke ich jede Datei nochmal durch einen Online Virenscanner um eine große Sicherheit zu haben. Darüberhinaus wird das Entwicklungssystem natürlich nicht zum Surfen genutzt. Alles in allem hat sich durch meine Vorsicht in den letzten 10 Jahren auch kein Virus oder keine Schadsoftware unbemerkt in den xp-AntiSpy einschleichen können. Sämtliche Verdachtsfälle haben sich bisher als ‚False Positive‘ herausgestellt.

Eine kleine kuriosität ist mir aufgefallen als ich die Installationsdatei des xp-AntiSpy beim letzten Mal durch den online Virenscanner ‚VirusTotal‘ geschickt habe.
Aber seht selbst:

Wow, während andere Virenscanner teilweise Trojaner in dem Installationsprogramm vom xp-AntiSpy finden (auch hier ‚False Positives‘), meint die Software von Sophos hier einen ‚Schädling‘ namens ‚xp-AntiSpy‘ entdeckt zu haben. Ich wusste nicht, dass dieses relativ unbedeutende Programm namens xp-AntiSpy eine solche Bedrohung darstellt, dass es einen eigenen Eintrag in der Virendatenbank verdient hat. Von Sophos wurde ich bisher nicht darüber Informiert, warum’s den xp-AntiSpy getroffen hat. Aber ich bilde mir auch nicht ein, dass ich eine Antwort bekäme, wenn ich nachfragen würde. Aber es ist ne lustige Sache, welche ich hier einmal kundtun wollte.

Ich habe heute übrigens die selbe Datei nochmal durch VirusTotal laufen lassen, mit einem völlig anderen Ergebniss – nur Sophos ist immer noch der Meinung das da der böse xp-AntiSpy dahintersteckt. Daraus lässt sich ablesen, das Virenscannerhersteller ebend auch nur mit Wasser kochen können und Fehler in der Datenbank oder beim Erkennen nun mal passieren. Also sollte man zwar die Meldungen der Virenscanner ernst nehmen, aber sie nicht ungeprüft Glauben. Zur Überprüfung eignet sich meiner Meinung ein solcher ‚Online Virenscanner‘ sehr gut.

Ich wünsche euch nen guten Start in’s Wochenende.
-chris-