Werbung

Artikel

Viren-Fehlalarme: Falsche Positive

Cristina Vidal

Cristina Vidal

  • Aktualisiert:

Es kommt immer wieder vor: Man lädt sich eine eigentlich harmlose Software aus dem Netz, ahnt nichts Böses und plötzlich schlägt der Antivirenschutz Alarm. Doch man muss nicht gleich in Panik ausbrechen, wenn der Virenscanner anschlägt. Denn es passiert häufiger, dass Sicherheitssoftware an sich harmlose Programme versehentlich als bösartige Schadsoftware identifiziert. Solch unbegründeten Meldungen nennt man dann false positivefalsche Positive.

Wie kommt es dazu?
Üblicherweise bezeichnen solche Fehlalarme die beanstandeten Dateien nicht direkt als Virus, sondern schreiben Formulierungen wie “potentielle Schadsoftware” oder Ähnliches. Da auch digitale Viren oft mutieren, analysieren Schutzprogramme meist bestimmte Charakteristiken dieser Viren. Programme mit ähnlichen Funktionen wie bekannte Viren verwirren die Schutzprogramme durch eben diese Ähnlichkeiten.

Häufig bleiben Analysewerkzeuge, aber auch Programme mit fortgeschrittenen Netzfunktionen, in der virtuellen Rasterfahndung hängen. So löst beispielsweise das Open-Source Programm UltraVNC bei vielen Antivirenprogrammen eine Warnmeldung aus. Dabei handelt es sich um eine Server-Client-Software für den Zugriff auf einen entfernten Rechner.

Natürlich gibt es immer einen Ermessensspielraum, auch für die Hersteller von Sicherheitssoftware: Ob man Gutes oder Böses im Schilde führt, hängt in manchen Fällen lediglich von der Verwendung des Programms ab. Es kommt auch mal vor, dass aufgrund eines Fehlers legale und anerkannte “gute” Programme plötzlich in den Filtern von Firewalls und Antivirensoftware hängen. Meist beheben die Antiviren-Hersteller solche Fehler schnell.

Typische Programme, die falsche Positive auslösen:

  • Dialersoftware: Es handelt sich hier um Programme, die das PC-Modem für telefonische Verbindungen nutzen, beispielsweise um eine Internetverbindung zu erstellen. Vor wenigen Jahren aber waren Dialer durchaus eine Bedrohung. In den meisten Fälle schlägt eine Schutzsoftware bei solchen Programmen automatisch aus.
  • Downloader: Wenig bekannte Downloadmanager lösen oft Warnmeldungen aus. Antivirenprogramme interpretieren manche Downloadfunktionen als Trojanersoftware.
  • FTP-Server / Proxy-Server / IRC / WEB / Telnet: Die wenigsten Virenwächter mögen IRC-Clients oder -Server auf dem PC. Trojaner telefonieren nämlich gerne nach Hause und nutzen die gleichen Methoden wie legale Admin-Software. Wer solche Programme allerdings selbst installiert und handhabt, kann die Virenmeldung getrost ignorieren.
  • Keylogger / Überwachungsprogramme: Bei Software, die Geschehnisse auf dem PC protokolliert – sozusagen mit schreibt – schlagen die Wächter fast immer Alarm. Solche Programme können sowohl zur (illegalen) Überwachung als auch für Sicherheits- oder Geschäftszwecke eingesetzt werden. Oft brandmarken die Antivirenfilter selbst Programme bekannter kommerzieller Anbieter als Spyware.
  • Passwortwiederherstellung: Software für genau diesen Zweck hat sehr oft nichts mit Spyware zu tun.
  • Remote-Zugriff: Für Wartungszwecke oder Telearbeit benutzen vielen Anwender Programme, die einen Fernzugriff auf andere PCs ermöglichen. Damit steuert man beispielsweise bei Wartungsarbeiten oder Fernkursen den gesamten PC des Fernteilnehmers.
  • Werkzeuge: Sowohl Hacker als auch Systemadministratoren benutzen oft die gleichen Werkzeuge. Darunter befinden sich viele nützliche Dienstprogramme, beispielsweise für Diagnose, Netzwerkverwaltung oder Überwachung des Datenverkehrs.
  • Cracks: Crack-Programmen hebeln den Schutz anderer Software aus. Damit fängt man sich garantiert eine Virenmeldung ein.
  • Späße. Falsche Fehlermeldungen von technisch versierten Scherzkeksen sind bei Virenherstellern ganz besonders beliebt.
  • P2P-Software. Nicht alle Antivirenscanner mögen P2P-Software und schlagen daher bei allem an, was daran erinnert.

Angesichts der vielfältigen Fehlerquellen für mögliche Falschmeldungen sollte man aber keineswegs die Warnmeldungen in den Wind schlagen. Es geht vielmehr darum, die Meldungen richtig zu lesen und dann zu entscheiden. Wenn der Virenscanner behauptet, das vom Hersteller heruntergeladene UltraVNC sei eine potentielle Gefahr, kann man es getrost wegklicken. Ansonsten sollte man kurz nachschlagen, was den Alarm ausgelöst haben könnte.

Häufige Begriffe der Alarme

Jeder Antivirenhersteller verwendet etwas unterschiedliche Begriffe, die meisten auf Englisch. Einige häufig verwendete Bezeichnungen gehören inzwischen zum Standardwortschatz der Warndialoge.

  • Not-a-Virus: Wenn das schon der Virenschutz behauptet, dann stimmt das meist auch. Oft steht diese Meldung bei Programmen, die nur dann schädlich sind, wenn man sie nicht selbst installiert hat.
  • Suspicious File. Diese Meldung besagt lediglich, dass die Datei verdächtig ist, aber mit keiner bekannten Schadsoftware so richtig übereinstimmt.
  • Potentially Unwanted, Unwanted: Generell könnte ein Rechner bei der Installation dieser Software Probleme bekommen.
  • DoS, Exploit, HackTool, Email-Flooder, Flooder, Constructor, Nuker: Das sind übliche Hackerwerkzeuge, die man auf keinen Fall ignorieren sollte.
  • Hoax, Joke: Witze oder Kettenbriefe mit Falschmeldungen.
  • RAdmin, RemoteAdmin, Backdoor: Software für Remote-Zugriffe.
  • WTool, PSWTool: Darunter fallen Passwort-Wiederherstellungsprogramme.
  • Adware: Programme mit Werbung. Oft handelt es sich um normale Programme, die mit einer Toolbar eines Drittanbieters daherkommen. Da diese Toolbars meist optional sind, handelt es sich bei der Software nicht unbedingt um eine verseuchte Datei.

Wie sollte man sich im Zweifelsfall verhalten? Eine gute Option bildet eine zweite Meinung. Dafür sendet man die zweifelhafte Datei an VirusTotal oder an ähnliche Onlinescanner und lässt die Software überprüfen.

Wer dann immer noch Angst hat, kann die Datei auch einfach löschen.

Weitere Posts zum Thema

Antivirencheck: Es geht auch online.

Virenalarm auf dem Rechner: Selbst-Diagnose.

Via OnSoftware

Cristina Vidal

Cristina Vidal

Das Neueste von Cristina Vidal

Editorialrichtlinien