Schachengines und Viren

By Werner Preuss Date 2011-04-06 09:35

Hallo zusammen,

folgendes möchte ich berichten:

Da mein PC keinen vollen Virenschutz besitzt, lasse ich ab und zu verschiedene externe Scanner über den Rechner laufen. Letztens sah ich am Kiosk die neue c't, Ausg. 8/2011 mit beiliegender Software Kollektion namens Desinfec't2011. Das ist eine bootfähige DVD (auf Linux Basis) mit diversen Virenscannern. Man scannt von der Boot DVD die Festplatten. Funktioniert gut und bietet auch Internet Unterstützung.

Wenn diese Programme meine diversen Festplattenpartitionen abscannen dann finden sie i.d.R. immer irgendwas. Und längst nicht alles was da gefunden, angezeigt oder beanstandet wird, muß auch schädlich sein. Bei meinem Spyboot Search & destroy Programm reicht bereits ein Aufruf der deutschen Google Seite um hinterher eine Schädlingsmeldung zu bekommen.

Was mich jedoch irritiert, war, das jetzt erstmals eine Schachengine unter den "Böswichtern" war. Es ist die engine "sorpio-26-32-ja.exe". Ich habe die Engine dann auf der Seite virustotal.com überprüft. Auch dort wird sie von 6 oder 7 Scannern, u.a. Symantec und McAfee, als verdächtig eingestuft. Bei der Version scorpio27 ist es ähnlich.

Was ich davon halten soll weiß ich nicht so richtig. Natürlich sind die Scanner heute sehr "scharf" eingestellt wenn sie nach "heuristic behaviour" o.ä. suchen. Anderseits habe ich so was bisher noch erlebt. So wurden etwa die diversen Engines aus dem russischen Clon-Millieu von Virustotal anstandslos durchgewunken.

Meinungen, Erfahrungen anderer?

Gruß
W

By Michael Scheidl Date 2011-04-07 01:05

Es ist in der Tat ein gewisses, aber normalerweise seltenes Problem. Es gibt hin und wieder solche "offensichtlichen" Fehldiagnosen, die hoffentlich wirklich solche sind... Ein Beispiel das ich kenne ist die Exe des Spiels Breed. Im Zweifel kann man dann noch so vorgehen, daß man selbst beobachtet ob die beanstandete Exe "irgendetwas macht" (falls man das riskieren will). Natürlich nicht bei Software aus mißtrauenswürdigen Quellen!

Bei Schachengines ist das auf meinen Rechnern bisher noch nie vorgekommen.
(Famous last words...

)

Es hängt natürlich im konkreten Fall jeweils davon ab, welche Antivirensoftware man verwendet. Anscheinend sind vereinzelte Fehldiagnosen nicht zu vermeiden, aber das sollte m.E. zugunsten der allgemeinen Systemsicherheit in Kauf genommen werden. Ich habe immer einen speicherresidenten Virenschild laufen. Sollten offensichtliche Falschmeldungen überhand nehmen, so würde ich sicherlich als erstes in Betracht ziehen, die Einstellungen entsprechend zu justieren, aber natürlich nicht auf ein riskantes Minimum. Wenn eine Antiverensoftware auf Standard- bzw. mittleren Settings dauernd Falschmeldungen prodziert, ist etwas faul und da würde ich mich um eine Alternative umschauen.

By Guido.M Date 2011-04-07 11:31

Hier ein ganz aktueller Fall von Fehlalarm !
Der Moderator ist hier fest der Meinung einen Virus in einer Engine entdeckt zu haben.
Ein Mitglied aber stellte fest,daß es hier wohl um einen Fehlalarm handelt,der öfter mal vorkommt.

Hier der Link zu dem Thema:
http://www.chess2u.com/t1696-this-engine-is-a-virus

By Werner Schüle Date 2011-04-08 08:59

Hallo Clemens,
ich hatte schon viele dieser Fälle. Hier mein letztes Ergebnis:
Kategorie: Trojaner

Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.
Empfohlene Aktion: Lassen Sie dieses entdeckte Element nur zu, wenn Sie dem Programm oder dem Softwareherausgeber vertrauen.

Security Essentials hat Programme erkannt, die Ihre Privatsphäre gefährden oder Ihren Computer beschädigen könnten. Sie können auf die von diesen Programmen verwendeten Dateien weiterhin zugreifen, ohne sie zu entfernen (nicht empfohlen). Wählen Sie zum Zugreifen auf diese Dateien die Aktion "Zulassen" aus, und klicken Sie dann auf "Aktionen anwenden". Wenn diese Option nicht verfügbar ist, melden Sie sich als Administrator an, oder bitten Sie den Sicherheitsadministrator um Unterstützung.

Elemente:
containerfile:C:\downloads\CB_Engines12_Activators.7z
file:C:\downloads\CB_Engines12_Activators.7z->DeepFritz12/Deep Fritz 12 Activator.exe

CB (Herr Schreiner hat mir geantwortet) geht auch von einem Fehlalarm aus

Weitere aktuelle "Meldungen von Avira:
pawny 0.2.zip
Hiarcsx50uci.exe
thinker53b.zip
...die sind jetzt alle in der Quarantäne...

Gruß
Werner