AntiVir schlägt bei Filtermanager Alarm

[catweazle]

Hi !

Habe gerade festgestellt, dass AntiVir neuerdings (Vers. 6.28.0.50) beim Filtermanager, der in der Customers Area zum Download verfügbar ist, Alarm schlägt.

Soll angeblich irgendein Trojaner sein

Was meint Ihr

[Hartwig]

Ich glaube, daß es keiner ist. Ich habe das schon bei denen (antivir) gemeldet.

Die Datei auf dem Server ist immer noch die selbe wie damals.

 

Ist das Trojanische Pferd TR/Spy.Delf.EG.3

 

Mal abwarten, ob es im nächsten Update immer noch so ist.

[Guest Oliver]

Der Filtermanager stammt eigentlich von Radlight. Vor 2 Jahren gab es zwischen Radlight und Lavasoft ziemlich großen Ärger. Jedenfalls würden seitdem Adblocker und diverse Antivirusprogramme schon Alarm schlagen bei einer Textdatei, die nur den String "Radlight" enthält. Jedenfalls ist die Haltung von Lavasoft rechtlich sehr bedenklich.

 

Bis dann, Oliver

[Guest hackbart]

Lavasoft hält sich mittlerweile zurück und greift Radlight nicht mehr an, dafür ist aber die Haltung vom Spybot Author dreister. Der warnt vor allem was Radlight heißt - wie Oliver schon erwähnt hat.

Ich hatte deswegen Anfang diesen Jahres einen kleinen Disput mit dem Author:

 

eMail 1:

 

Hallo Herr Hackbart,

 

auf die Bitte von Herrn Bottanek möchte ich auf ein Problem, hinsichtlich des Erkennungsalgorithmus ihrer Spybot Software, aufmerksam machen. Wie es scheint reicht eine Textdatei mit der Bezeichnung RadLight im Text, so daß eine Warnung über boshafte Software erscheint.

Na dann reden Sie wohl von einer anderen Software, denn das entspricht in keinster Weise der Arbeitsweise von Spybot-S&D. Ich kann Ihnen versichern, daß die Nennung des Namens 'RadLight' in einer Textdatei in keinster Weise eine Erkennung in Spybot-S&D auslöst.

 

Mit freundlichen Grüßen,

Patrick Kolla

 

eMail 2:

 

Hallo Herr Hackbart,

 

 

das Problem kann in ganz einfacher Weise nachvollzogen werden:

Erstellt man unter C:\Programme bzw. C:\Program Files ein Verzeichnis mit dem Namen Radlight, kommt die Warnmeldung zusammen mit dem Hinweis RadLight zu entfernen. Den gleichen Effekt kann man durch Erstellens einer Datei mit Dateinamen "Radlight.exe" bzw. durch diverse Registry Einträge erzeugen.

 

Interessant... benutzen Sie ADS? Ich wüßte sonst nicht, wie Sie eine Textdatei mit einem Verzeichnis oder einer ausführbaren Datei verknüpfen. Erst recht nicht mit der Registrierungsdatenbank?

 

MfG, Patrick Kolla

 

danach war ich verärgert und hab nochmal drastischere Worte benutzt:

 

Hallo,

 

Anscheinend haben sie mich nicht ganz verstanden, also noch einmal langsam und zum mitmeißeln:

Sie haben behauptet, Spybot-S&D würde RadLight anhand von Strings in Textdateien erkennen, was schlichtweg eine Lüge ist.

 

Daß Spybot-S&D Verzeichnisse und Registrierungsdatenbankeinträge erkennt, leugne ich gar nicht. Das hat aber erstens keinen Zusammenhang mit der Unterstellung bzgl. Strings in Textdateien, und zweitens hätten Sie ja die Möglichkeit gehabt, neuere Versionen entsprechend von der alten, bösartigen zu differenzieren, z.B. durch anders benannte Registrierungseinträge und Verzeichnisnamen.

 

Übrigens folgendes sollte als Rat angenommen werden, im Rahmen der EU-Osterweiterung rückt kommt auch die Möglichkeit immer näher Einstweiligen Verfügungen aus den neuen Staaten - zu denen auch die Slowakei gehört - zu bekommen. Gründe um rechtliche Schritte einzureichen gibt es ja genug. Wie kann es sein, dass ein Programm zu Unrecht als Malicious deklariert wird?

 

Ach wie schön... sie wollen uns drohen?

Dann lassen wir die Email-Kommunikation doch gleich sein... wenden Sie sich bitte fortan an diese Adresse:

Safer Networking Limited

Legal department

46 Fitzwilliam Square

Dublin 2

Ireland

 

 

Auf Martins *erm* Anraten hab ich es dann gelassen eine Unterlassung zu schreiben.

[Hartwig]

So, ich habe Antwort erhalten:

(ich denke doch mal, daß ich den Inhalt der Mail hier posten darf)

 

-----------------------------------------------------------------

 

Sehr geehrte Damen und Herren,

 

wir bedanken uns für Ihre Anfrage.

 

In der von Ihnen eingesendeten Datei ist kein Virus enthalten.

Es handelt sich um einen Fehlalarm.

Dieser Fehlalarm wird mit einem der nächsten Updates von AntiVir beseitigt.

 

Wir bitten um Ihr Verständnis.

--

 

Freundliche Gruesse

H+BEDV Datentechnik GmbH

 

 

-------------------------------------------------------------------

[Hartwig]

Es ist soebend eine neue Virusdefinitionsdatei erschienen, welche das Problem behebt.

[Griga]

Die von mir komplilierte Version des RadLight Filtermanagers ist (wie alle Plugins und auch der DVBViewer) UPX-komprimiert, d.h. eine selbstentpackende EXE oder DLL.

 

Damit hat AntiVir Probleme, da es diese vor dem Virencheck offenbar nicht auspackt und dann auf irgendwelche darin enthaltenen zufälligen Bytefolgen "reinfällt". Dies habe ich schon mehrfach mit frisch kompilierten / komprimierten Dateien erlebt und schon öfters solche "Irrtümer" an H+BEDV abgeschickt, die i.a. zügig korrigiert werden. Auch den DVBViewer selbst hat es schon mal getroffen.

[Guest Oliver]

Ich habe eben mal ein wenig recherchiert und denke nicht, dass "Safer Networking Limited" überhaupt eine Rechtsabteilung hat. Vielmehr handelt es sich dabei wohl mehr um ein 1-Personen-Hobbyprojekt zumal ja um Spenden ersucht wird. Ein nicht-kommerzielles Produkt kann sich wohl kaum ein "Legal Department" leisten.

 

Bis dann, Oliver

[Griga]

Ergänzung: Falls AntiVir mal wieder bei irgendeiner, zum Umkreis des DVBViewers gehörenden UPX-komprimierten Datei Ärger macht, hilft folgender Workaround:

 

Sich UPX aus dem Web besorgen (ist ein freies Kommandozeilen-Tool), eine Verknüpfung auf UPX.exe erzeugen und in den Eigenschaften unter Ziel den Kommandoparameter -d ergänzen (Decompress). Dann die bemängelte Datei auf die Verknüpfung ziehen, wodurch sie entpackt wird. Danach sollte Ruhe sein. Falls nicht, könnte wirklich ein Virenbefall vorliegen.

 

Bei DVBViewer.exe bekommt man dabei erst mal einen Schreck, weil man sieht, wie groß das Programm in Wirklichkeit ist...

[Hartwig]

UPX gibts auch unter dem Namen "UPX-IT" mit GUI, welches sich zusätzlich ins Kontextmenü einfügt. Das macht die Benutzung noch ein wenig einfacher...

[spAik]

*auf seite von lavasoft bin*

[maal]

Ich habe heute aus Unkenntnis diesen Beitrags eine Frage bezüglich eines "gefundenen" Trojaners in einer alter TSPlayer.exe (28.3.2004) per PM an Griga geschickt.

 

Der Hinweis, daß Fragen allgemein nicht per PM sondern im Forum zu stellen sind ist zwar berechtigt, doch frage ich mich ob an einer so alten Version (14 Monate)noch Interesse besteht.

 

Die Antwort kam hoffentlich von einem Autoresponder, denn ein "Nein ist mir nicht bekannt" hätte mit schon gereicht und wäre auch kürzer.

 

maal

[Griga]

Die Antwort kam hoffentlich von einem Autoresponder

 

Nein, kam sie nicht. Und war noch ausgesprochen moderat formuliert!

 

Fragen per PM zu stellen ist in mehrfacher Hinsicht unzweckmäßig. Erstens erfahren auf diese Weise Anwender, die auch davon betroffen sind, nichts davon, zweitens wird, da es nur einer liest, die Chance drastisch vermindert, eine hilfreiche Antwort zu erhalten, und drittens hält es Entwickler und Tester von ihrer Tätigkeit ab ab und behindert den Fortschritt des DVBViewers.

 

Genau deshalb ist es in den Forumregeln untersagt, Moderatoren und Admins ungebeten per PM anzuschreiben.