Fehlalarm beim angeblichen Samsung-Trojaner

Seit Mittwoch zieht eine Meldung immer größere Kreise, dass auf Samsung-Notebooks ab Werk ein Keylogger installiert wäre. Dahinter steckt ein Fehlalarm der zur Analyse eingesetzten Antiviren-Software.

In Pocket speichern vorlesen Druckansicht 83 Kommentare lesen
Lesezeit: 2 Min.

Am gestrigen Mittwoch veröffentlichte die amerikanische News-Site NetworkWorld eine dramatische Geschichte, dass Samsung angeblich Keylogger auf Laptops installlierte. Heute stellt sich das Ganze als Fehlalarm der Antiviren-Software VIPRE heraus.

Die Geschichte war von Anfang an äußerst dünn. Der angebliche Sicherheitsexperte Mohamed Hassan entdeckte angeblich den Keylogger StarLogger auf zwei frisch gekauften Samsung Notebooks. Er präsentierte jedoch nur ein einziges technisches Indiz für diesen Sachverhalt: Die Alarmmeldung einer namentlich nicht genannten Antiviren-Software. Dass es sich um einen Fehlalarm handeln könnte, kam ihm zwar in den Sinn, aber Hassan schloss das vollmundig aus. Immerhin setze er die Software bereits seit 6 Jahren ein, und sie habe noch nie irgendetwas falsch identifiziert. Darüber hinaus gelang es anscheinend noch, einen überforderten Support-Mitarbeiter am Telefon zu einem Geständnis zu bewegen, dass diese Software von Samsung installiert würde.

Allein die Existenz des Verzeichnisses führt bereits zum Alarm.

Mittlerweile hat der Hersteller auf Samsung Tomorrow Stellung bezogen und beteuert, dass man nichts Derartiges tue. Man arbeite jedoch mit Hassan zusammen, um die Ursache der Alarm-Meldung der Antiviren-Software Vipre zu finden. Das ist mittlerweile gelungen. Wie auch das Antiviren-Labor AV-Test gegenüber heise Security bestätigte, ruft allein die Existenz des Verzeichnisses \Windows\SL die abgebildete Alarm-Meldung hervor. Und dieses Verzeichnis legt Microsoft Live für slowenische Sprachdateien an. c't hatte übrigens Vipre in Heft 12/09 getestet und kam damals zu dem Fazit: "Bei diesem mangelhaften Virenschutz kann nicht einmal der Preis überzeugen."

Interessant ist, dass nicht nur NetworkWorld diese Geschichte ganz offensichtlich ohne weitergehende technische Analyse des Sachverhalts veröffentlichte – also ohne zum Beispiel im angeblich infizierten System nach Hooks zum Belauschen der Tastatureingaben zu suchen. Sie wurde auch via Twitter von namhaften Sicherheitsexperten weitergereicht und von diversen News-Portalen aufgegriffen.

Update: Unterdessen hat der Hersteller der Antiviren-Software Vipre eingeräumt, dass es sich um einen Fehlalarm handelte und entschuldigt sich bei Mohamed Hassan, Samsung und anderen betroffenen Anwendern. (ju)