Antivir erkennt Malware beim Scannen, beim Schreiben jedoch nicht

14/06/2009 - 02:30 von Michael Landenberger | Report spam
Hallo,

eben trudelte mal wieder ein Würmchen bei mir ein, das ich zwecks
Analyse auf der Festplatte speichern wollte. Wenn mein Antivir Personal
9 die Spezies schon kennt, schlàgt es üblicherweise dabei Alarm.
Diesmal blieb aber alles ruhig. Aha, dachte ich, das Ding ist neu und
Antivir erkennt es noch nicht. Also habe ich die Datei bei jotti.org
hochgeladen und siehe da, fast alle Scanner bis auf ein paar Exoten
erkannten den Schàdling. Allerdings war lt. jotti.org auch Antivir
unter den Scannern, die die Datei als Schadsoftware einstuften. Das
machte mich stutzig: warum erkennt das Antivir bei jotti.org den
Schàdling, meines jedoch nicht? Lt. Updater befinden sich auf meinem
Rechner sowohl das Programm als auch die Virensignaturen auf dem
neuesten Stand.

Nun habe ich die fragliche Datei mal manuell gescannt (Rechtsklick ->
Ausgewàhlte Dateien mit Antivir überprüfen). Jetzt wurde der Virus
erkannt! Beim Speichern passierte jedoch nach wie vor nichts. Um einen
Einstellungsfehler auszuschließen, habe ich Antivir testweise einen
etwas àlteren Wurm zum Fraß vorgeworfen. Und siehe da: dieser
Schàdling wurde sowohl On Access als auch On Demand erkannt. Nur bei
der neuen Variante blieb Antivir stumm, und das auch nur beim
Speichern.

Was ist da los? Ist das wieder mal eine der berühmt-berüchtigten
Antivir-Macken? Oder kann es eine andere Ursache haben, dass der
On-Demand-Scan funktioniert, der On-Access-Scan jedoch nicht?

Eine Neuinstallation von Antivir hat das Problem nicht behoben. Hat es
Sinn, die Malware zu Avira zu schicken? Offenbar enthàlt die
Signatur-Datenbank den Schàdling ja bereits, nur beim On-Access-Scan
gibt es offenbar ein Problem.

Falls das wichtig ist: On Demand bzw. bei jotti.org erkennt Antivir den
Wurm als TR/Crypt.XPACK.Gen. ".Gen" hört sich nach einem durch die
Heuristik erkannten Schàdling an. Die Heuristik-Einstellungen sind aber
bei Guard und Scanner gleich, auch sind weder beim Guard noch beim
Scanner irgendwelche Ausnahmen eingetragen.

JFTR: virustotal.com kann man derzeit in der Pfeife rauchen. Dort
wurden die Scanner zuletzt Mitte Mai aktualisiert, also vor einem
Monat. Folgerichtig wird der hier zur Debatte stehende Schàdling bei
virustotal.com von ca. 25% der Scanner nicht erkannt, darunter auch
Antivir.

Gruß

Michael
 

Lesen sie die antworten

#1 Lutz Illigen
14/06/2009 - 04:50 | Warnen spam
"Michael Landenberger" wrote:

Das machte mich stutzig: warum erkennt das
Antivir bei jotti.org den Schàdling, meines jedoch nicht?



Schon im Antivir Forum gefragt?

Lutz

Ähnliche fragen