Verlässlichkeit von Virenscannern

Ich mache zur Zeite eine Ausbildung zum Fachinformatiker für Anwendungsentwicklung. Und es ist üblich, dass wenn man was in der Schule gemacht hat, dass man seinen USB-Stick anschließt und sich die Sachen auf den USB-Stick kopiert, um sie mit nach Hause zu nehmen.

So weit, so gut. Als ich ihn jetzt neulich angeschlossen habe, hat die Antiviren Software der Schule angeschlagen. Am nächsten Tag hat mich der Lehrer darauf angesprochen, denn er bekommt bei jeden Virenalarm eine E-Mail. Darin enthalten ist wohl auch die Datenträgerbezeichnung, denn er wusste genau, dass es mein USB-Stick war, da die Datenträgerbezeichnung meines USB-Stick MICHAELPUFF ist -- in so einem Fall wohl nicht ganz so günstig. Jedenfalls hat er mir Vorsatz unterstellt, da nicht nur ein Virus gefunden wurde, sondern gleich mehrere und das konnte, seiner Meinung nach kein Versehen sein.

Ich habe dann den USB-Stick mit den Virenscanner der Schule selber noch mal gescannt und er hat tatsächlichen "Viren" gefunden. Viren in Anführungsstrichen, weil es hauptsächlich selbst geschriebene Delphi Programme von mir waren. Darunter mein CreateRemoteThread, welches eine DLL in einen laufenden Pozess injeziert und dort dann einen Thread mit eigenen Code startet, mein NetworkInfo, welches nur eine Datei mit der externen IP von meiner Homepage runterläd, meinen harmlosen KeyLogger LuckieSpy und ein Programm zum Auflisten aller offenen Dateihandles, welches einen Treiber beinhaltet und ein paar Programme von SysInternals, wie PsKill und PsExec. Also die Warnungen bezüglich CreateRemoteThread und LukieSpy kann man durchaus nachvollziehen. Aber die Meldungen für NetworkInfo und den Sysinternals Programmen irgendwie nicht mehr so ganz.

Jedenfalls konnte ich ihm glaubhaft versichern, dass es keine Viren sind und es sich wohl um Fehlalarme von der Heuristik des Virenscanners handelt und vorallem, dass es sich nicht um Vorsatz handeln würde. Da die Antivirensoftware den angeblichen Virus nicht entfernen konnte, war er dann auch der Meinung, dass es sich um Fehlalarme handeln müsste. Damit war die Sache dann für ihn erledigt.

Allerdings ist die Geschichte noch nicht ganz zu Ende -- wäre ja auch etwas langweilig. Denn auf dem USB-Stick befindet sich tatsächlich ein selbst geschriebener Virus. (Was ich ihm natürlich nicht gesagt habe.) Gut, kein richtiger Virus, da er keinen Schadcode enthält und auch keine eigenständige Verbreitungsroutine besitzt. Aber das Programm simuliert einen Virus, in dem es in eine andere ausführbare Datei ein Code Segment hinzufügt, den Einsprungspunkt auf dieses Code Segment setzt, so dass dieser Code ausgeführt wird, in diesem Fall wird nur eine Messagebox angezeigt, und dann den ursprünglichen Einsprungspunkt wiederherstellt. Also ganz das Verhalten eines Viruses. Und der Witz ist, bei diesem Programm hat der Virenscanner nicht angeschlagen.

So viel zur Verlässlicheit eines Virenscanners.

2010-12-29T23:44:57 +0100, mail+homepage[at]michael-puff.de