Fehlerhafte Virensignatur von NOD32 löste Alarm beim Besuch von Webseiten aus [Update]

Eine offenbar fehlerhafte Viren-Signatur (2365) sorgte weltweit bei Anwendern des Antivirenprogramms NOD32 beim Besuch von Webseiten für Verunsicherung. Bei einem vom Ad-Server serving-sys.com ausgelieferten Banner schlug der Virenscanner an und meldete im Skript eBannerMain_62_36.js den Trojaner Tivso.14a.gen. Betroffen waren neben Seiten von PC-World, Yahoo und vielen anderen auch die Seiten von heise.de: In einigen News-Meldungen wurde das vom Scanner als gefährlich eingestufte Skript eingebettet.

Eine manuelle Analyse förderte jedoch nichts verdächtiges zutage. Mit der Aktualisierung der Viren-Signatur auf 2366 löste der Scanner auch keinen weiteren Alarm mehr aus. Worüber der Scanner nun genau stolperte, ließ sich nicht feststellen. Für eine Stellungnahme war der Hersteller am Wochenende nicht zu erreichen.

Update
Der Hersteller Eset hat in seinem Blog eine Stellungnahme zu dem Fehlalarm veröffentlicht. Darin heißt es, dass nicht nur die generische Signatur für Tivso.14a im Update 2366 überarbeitet wurde. Auch die Signatur für Tivso.13a.gen musste mit Version 2368 aktualisiert werden, da auch damit Fehlalarme drohten.

Gleichwohl bekräftig Eset, dass die Signaturen nur bei solchen Skripten anschlugen, die im Stile von obfuszierten Skripten geschrieben waren, um üblicherweise die Erkennung von Schadcode zu erschweren. In einem ähnlichen Stil war auch das Skript zur dynamischen Einbindung der Flash-Banner geschrieben. Der Scanner schlug an, da solche Skripte normalerweise nur von Seiten ausgeliefert werden, die verhindern wollen, dass der Anwender bemerkt, dass unerwünschter Code auf seinem Rechner läuft. (dab)