Offener Trojaner-Scanner kämpft mit Fehlalarmen

Das Tool zur Suche nach Staatstrojanern produziert offenbar recht viele Fehlalarme – unter anderem bei Antiviren-Software, die angeblich infiziert ist.

In Pocket speichern vorlesen Druckansicht 98 Kommentare lesen
Lesezeit: 1 Min.

Die Entwickler bessern die Regeln nach, um False Postives -- also Fehlalarme zu beseitigen.

Der Ansatz ist lobenswert: Das quelloffene Tool Detekt sucht im Arbeitsspeicher eines PCs nach Hinweisen auf bekannte Spionage-Software, die unter anderem von repressiven Staaten eingesetzt wird. Allerdings berichten viele Anwender von Problemen bei der konkreten Nutzung; insbesondere kommt es immer wieder zu Fehlalarmen. Die Entwickler bessern deshalb die Signaturen kontinuierlich nach.

Antiviren-Spezialist G Data etwa erklärt die im Zusammenhang mit der eigenen AV-Software aufgetretenen Fehlalarme damit, dass der G-Data-Wächter beim Start von Detekt eine Kopie von dessen Arbeitsspeicher erstellt, um diesen zu untersuchen. Diese Kopie enthält auch die Yara-Regeln und damit die von Detekt gesuchte Zeichenkette. "Detekt findet sich also selber" kommentieren die G-Data-Experten den Fauxpas. Davon betroffen sind anscheinend nicht nur Virenwächter; G Data konnte das Problem auch mit einem sauberen Firefox-Prozess nachstellen, der noch gecachte Daten von der Detekt-Webseite im Speicher hatte.

Unterdessen arbeiten die Entwickler weiter an den Regeln, um solche und andere Probleme beim Einsatz des Scanners zu beseitigen. Wer eine Alarm-Meldung von Detekt bekommt, sollte also nicht in Panik verfallen, sondern unbedingt Ruhe bewahren und die Angelegenheit von einem Experten untersuchen lassen, der die gelieferten Informationen richtig interpretieren kann. (ju)