False Positive-Erkennung bei Schadsoftware

Mit einer gewissen Ironie, kann man sich fragen: Wovon geht die größere Gefahr aus – von Computerviren oder vom genutzten Virenscanner?

Denn es gibt eine Gefahr, die immer existiert, die der sog. False Positives (FP). Dabei handelt es sich um einen Fehlalarm, der durch den Virenscanner ausgelöst wird. Der Virenscanner erkennt eine Schadsoftware in einer Datei oder einem sicherheitsrelevanten Objekt (Speicher, Registry etc.) und löscht bzw. blockiert dieses.
Schadsoftware, wie Computerviren, Trojaner und Bots werden über verschiedene Technologien erkannt. Ermittelt der Hersteller eines Virenscanners eine Erkennungsmethode, wird diese während der Qualitätskontrolle ausgetestet. Ergeben sich dabei keine Probleme oder Fehlalarme, wird die Erkennungsmethode freigegeben.

Die Qualitätskontrolle der Antivirus-Hersteller kann aber nicht alle existierenden Dateien überprüfen (Zeit- und Mengenproblem),die es weltweit gibt, so dass immer nur eine Teilmenge als Referenz herangezogen wird. Dies führt dazu, dass sich bei der Verwendung der Erkennungsmethode (z.B. Signatur) durch den Anwender FP's auftreten können. In diesem Fall werden harmlose Dateien bzw. Objekte als Schadsoftware erkannt, die aber nur rein zufällig in das Muster der Erkennungsmethode passen.

Falls der Virenscanner so eingestellt ist, dass er Schadsoftware automatisch löscht, kann diese sinnvolle Option bei einer fehlerhaften Erkennnung zu Folgeschäden führen. Denn irrtümlich können so Systemdateien oder Komponenten von Anwendungsprogrammen gelöscht werden. Im ungünstigsten Fall ist danach der Computer nicht mehr startfähig oder das Anwendungsprogramm stürzt ab oder verhält sich falsch.

Als generelle Empfehlung gilt daher: Keine festgestellte Schadsoftware, ohne Bestätigung durch den Anwender löschen lassen!

Übersicht zu einigen bekannten False Positive-Alarmen:

AVAST  2014/07  Android-Virenscanner meldet Krypto-Messenger TextSecure  als "Android:Banker-BW" Link

AVG

2013/03   Fehlerkennung von Trojaner "Generic32. FJU" in Windows-Systemdatei wintrust.dll Link
SOPHOS 2012/09 False Positive für "Shh/Updater-B" Link
MSE 2011/10 Verdacht auf Banking-Trojaners "PWS:Win32/Zbot" bei CHROME Link
GData/Avast  2011/02 Fehlerkennung "HTML:SetHome-A" auf Webpage Link
McAfee 2010/04 Fehlerkennung in Datei "svchost.exe" bei XP/SP3 Link
Ikarus 2010/02 False Positive von "Trojan.Damaged.Gen2" Link
Kaspersky 2010/01 Fehlerkennung von "Trojan.js.redirector.ar" bei Google-Anzeigen Link
Bitdefender 2009/02 Trojaner-Fund in XP-Datei "Winlogon.exe" Link
F-Secure 2009/04 Fehlerkennung in XP Systemdatei "wmiprvse.exe" Link
Avast 2009/12 Fehlerkennung "Win32:Delf-MZG"Trojan Link
GData 2008/01 Trojanerfund in der Systemdatei "user32.dll" Link
Trend Micro 2008/09 Generische Fehlerkennung in Dateien von "Troj_Generic" Link
AVG 2008/11 Fehlerkennung von "install_flash_player.exe" als Trojaner  PSW.Generic6.AQPD Link
AVIRA 2007/03 Fehlerkennung von "Backdoor.Haxdoor" in "netapi32.dll" und "lsasrv.dll" Link
Symantec 2007/05 Fehlerkennung von "Backdoor.Haxdoor" in "netapi32.dll" und "lsasrv.dll" Link
SOPHOS 2006/02 Fehlererkennung von "OSX/Inqtana-B worm" für Mac OS X Link
     

Link: Ergebnisberichte zu False-Alarm Tests von AV-Comparatives