[Avira Antivir] Merkwuerdige Heuristik/Fehlalarme

31/10/2008 - 13:07 von Michael Landenberger | Report spam
Hallo,

in <news:6lu7u5Fe6525U1@mid.uni-berlin.de> habe ich berichtet, dass ein
von mir selbst geschriebenes und im Prinzip harmloses Programm von der
Heuristik von Avira Antivir als Schadsoftware (TR/Crypt.CFI.gen)
eingestuft wird. Antivir steht damit ziemlich allein auf weiter Flur,
denn lt. virustotal.com und jotti.org ist nur noch ein einziger anderer
Virenscanner der Meinung, bei meinem Programm handele es sich um
Schadsoftware. Insbesondere irritiert mich der Umstand, dass für
TR/Crypt-Malware eigentlich ein Laufzeitpacker oder eine
Verschlüsselung charakteristisch ist, welche aber bei meinem Programm
gar nicht zum Einsatz kommen. Ich vermute außerdem, dass der Fehlalarm
durch eine bestimmte Kombination aus verwendeten Windows-API-Funktionen
ausgelöst wird. Wenn ich aus meinem Programm z. B. die
Winsock-Funktionen entferne, hàlt Antivir die Hufe still. Dummerweise
funktioniert mein Programm dann aber nicht mehr so, wie es soll.

Nun habe ich mein Programm mal bei Avira hochgeladen und als Fehlalarm
gemeldet. Sie haben den Fehlalarm bestàtigt und nach dem nàchsten
VDF-Update gab es dann auch tatsàchlich keinen Fehlalarm mehr. Nachdem
ich allerdings an meinem Programm minimale Änderungen vorgenommen habe,
die obendrein rein kosmetischer Natur waren und überhaupt keinen
Einfluss auf die Funktionalitàt hatten, war der Fehlalarm wieder da.
Ich gehe daher davon aus, dass Avira an der Heuristik überhaupt nichts
geàndert hat und nur mein Programm anhand eines Hashwerts in eine
Whitelist aufgenommen hat. Jede Programmànderung führt zu einem anderen
Hashwert und die Heuristik schlàgt wieder zu. Theoretisch müsste ich
somit mein Programm nach jeder klitzekleinen Änderung erneut zu Avira
hochladen, damit die den Fehlalarm "beseitigen".

Das kann es doch nicht sein, oder? Antivir produziert fast als einziger
Scanner bei meinem Programm Fehlalarme, was ein Indiz dafür ist, dass
der Heuristik-Algorithmus mal überarbeitet werden sollte. Stattdessen
werden aber einfach Whitelists geführt. Irgendwie erscheint mir das als
Frickel-Lösung. Wie seht ihr die Sache?

Gruß

Michael
 

Lesen sie die antworten

#1 Pascal B. Kreil
31/10/2008 - 17:43 | Warnen spam
On Fri, 31 Oct 2008 13:07:23 +0100, Michael Landenberger wrote:

Das kann es doch nicht sein, oder? Antivir produziert fast als einziger
Scanner bei meinem Programm Fehlalarme, was ein Indiz dafür ist, dass
der Heuristik-Algorithmus mal überarbeitet werden sollte. Stattdessen
werden aber einfach Whitelists geführt. Irgendwie erscheint mir das als
Frickel-Lösung. Wie seht ihr die Sache?



Du hast das ziemlich exakt erfasst. Allerdings ist das nicht ganz neu,
denn gerade dieser Scanner ist ein Großmeister des Fehlalarms. Es ist
nicht das erste Mal, dass der Scanner ganze Heft-CDs von Zeitschriften
als Schadsoftware abstempelte oder bspw. Installationen von
Anwendungssoftware komplett lahmlegte weil über Nach plötzlich aus
einem Büroprogramm ein böses Stück Schadcode wurde.

Das, was Du beobachtet hast ist genau das, was auch letztens erst in
der c't stand. Einige AV-Hersteller schreiben nur noch von anderen ab
und wissen eigentlich gar nicht so genau, was sie da eigentlich
erkennen müssten, damit es zuverlàssig funktioniert. Das Ergebnis sind
dann Fehlalarme en masse und zuergeflickschusterte Lösungen, die
einige Programme bis zur nàchsten Änderung als Ausnahme behandeln.

Du wirst also entweder Dein Programm umschreiben müssen, damit es
kompatibel zum Virenscanner ist oder aber darauf hinweisen, dass
aufgrund von Fehlern im Scanner das Programm nicht mit diesem zusammen
eingesetzt werden darf. Darauf hoffen, dass der Hersteller das
korrigiert würde ich nicht.


Bis denne,

Pascal

Ähnliche fragen