Hi Mathias,

zunächst mal: Ein Antivirenprogramm ist auch nur das, was der Entwickler ihm beigebracht hat. Mit allen Schwächen. Dazu kommt, daß ein Antivirenprogramm auf dem zu schützenden System läuft, mit den Rechten, die der User auch hat. So viel taugt es auch.

Die Frage ist ja: Hat AntiVir den Befall des Systems an sich korrekt registriert oder nur Wirkungen des Schädlings (Logdateien) festgestellt, diese aber wegen schlechten Erkennungsalgorithmen nicht auf die Ursache (= das gesamte System ist befallen, der Virus ist aktiv) zurückgeführt?

Jein. AntiVir hat festgestellt, daß es Dateien gibt, deren Merkmale in der Datenbank von Antivir gespeichert waren. Und das waren halt nur die Logdateien, die durch den Agent erzeugt worden sind. Also die Wirkungen, nicht die Ursache. Der eigentliche Schädling, die gmt.exe, blieb unbeachtet und hätte sonstwas machen können. Vielleicht hätte er ja irgendwann eine Datei heruntergeladen und einen Systemprozess durch die Datei ersetzt? Keine Ahnung.

Sicherlich hat AntiVir im zweiten Fall einen Fehler, weil es nicht korrekt den Systembefall feststellt und nicht korrekt von Trojaner-Hinterlassenschaften auf einen installierten Trojaner schließt. Im ersten Fall läge jedoch ein absichtliches grobes Fehlverhalten vor, um das es mir ging.

Ja, aber das ist doch prinzipbedingt. S. o.

Dein Beispiel würde meine Aussage widerlegen, wenn es tatsächlich Anti-Viren-Programme geben, die einen eindeutigen Hinweis darauf finden, dass das System als Ganzes kompromittiert wurde (und also einen solchen Hinweis korrekt zu deuten wissen).

Das Problem besteht doch darin, daß ein Antivirenprogramm niemals aktuell sein kann, auf dem zu schützenden System läuft und aufgrund der Heuristik nur Annahmen vornehmen kann.

Das Antivirenprogramm erkennt eine Datei, die Merkmale hat, die in der DB gespeichert sind. Demzufolge meckert es oder auch nicht. Wenn die Datei im RAM liegt, ist vielleicht auch das System befallen, wenn nicht, ist es vielleicht nur der Anhang einer Mail, der noch nicht mal aufgerufen wurde. Wenn nur durch den Schädling erstellte Dateien gefunden werden, ist es für das Antivirenprogramm halt der Schädling. Das Antivirenprogramm kann dann nicht eventuelle Zusammenhänge herstellen, es sei denn, der Entwickler hat es ihm beigebracht. Und da die Schreiberlinge von Schädlingen den Entwicklern der Antivirensoftware immer voraus sind, kann ein Antivirenprogramm gar nicht alles erkennen.

In deinem Beispiel scheint AntiVir aber einfach eine schlechte Heuristik anzuwenden. Soweit ich weiß, fordert auch AntiVir dazu auf, das System von einem unbefallenen Datenträger zu booten, sobald das Programm hinreichende Hinweise darauf findet, dass Virencode ausgeführt wurde. Es scheint mir unwahrscheinlich, dass AntiVir aus Prinzip nur versucht, Symptome zu bekämpfen (was eben nie zu einer Desinfektion des Systems führen kann).

Leider muß ich AntiVir immer wieder einsetzen. Der Grund ist, daß AntiVir selbst einfachsten Code als Schädling bemeckert. Wenn das dann beim Auftraggeber passiert, ist das nicht so gut. Aber AntiVir (zumindest die kostenlose Version) bringt sehr viele False Positives, so daß ich die Heuristik durchaus in Frage stellen würde. Eine Mitteilung, daß mein System befallen sei, hat AntiVir noch nie gebracht. Es wurde immer nur gefragt, ob die Datei umbenannt oder gelöscht werden soll. Allerdings, das muß ich zugeben, hatte ich auch noch keinen Schädling im RAM.

Du hast in dem Fall natürlich trotzdem recht, das Löschen der Spuren des Trojaners wiegt den Benutzer zunächst in falscher Sicherheit. Aber spätestens dann, wenn er beim nächsten Systemstart wieder dieselbe Meldung bekommt, sollten ihm die Augen aufgehen.

Ja, sollten. Das ist aber leider das Problem. Es wird massenhaft "Sicherheitssoftware" angeboten, die den PC ja so sicher macht. Darauf verläßt man sich dann. Man freut sich dann sogar: "Mein Programm kriegt alles mit.", auch, wenn es sich nur um eine harmlose Meldung handelt. Und hat man dann noch eine PFW installiert, freut man sich, wenn die einen einfachen Ping meldet. Die Software macht den PC ja so sicher. Und wenn einem die Meldungen zu viel werden oder man sie nicht versteht, schaltet man sie einfach aus.

Das ist dieser Placeboeffekt. Man hat eine Software installiert, auf die man sich verlassen kann. Leider habe ich das diese Woche erst wieder erlebt. Kein SP2 auf XP, aber Norton. Die Bots haben sich gefreut und ich habe einen Tag lang am Telefon gehangen, um die Folgen (und natürlich auch die Ursache) zu beseitigen. Formatieren ging nicht, denn: Backup? Image? Was ist das?

In den gängigen Anleitungen zum Entfernen von Viren etc. ist immer der erste Schritt das Überprüfen des Systems »von außen« und ggf. das Neuinstallieren aller Dateien mit ausführbarem Code.

Steht in den gängigen Anleitungen nicht immer zuerst, wie gut die "Sicherheitssoftware" ist?

Viele Grüße

Jörg