Erneut falscher Virenalarm für Windows-Systemdateien
Antiviren-Software-Produkte von G Data und Kaspersky glaubten einen Trojaner in einer regulären Windows-Systembibliothek zu erkennen.
Mit einem gestern verteilten Signatur-Update meldeten die Antiviren-Produkte von Kaspersky und G Data den Trojaner Trojan.Win32.Patched.dn für bestimmte ältere Versionen der Windows-Systembibliothek user32.dll. Wie Thorsten Urbanski von G Data gegenüber heise Security bestätigte, handelte es sich dabei um einen Fehlalarm des Kaspersky-Scanners, den die 2008er-Version des Endkunden-Produkts nutzt. Ein weiteres Update beseitigte den Fehler. Die Firmen-Version und die 2009er-Ausgabe waren nicht betroffen. Von Kaspersky gab es bislang keine Stellungnahme.
G Data glaubte bereits im Januar in eben jener Datei user32.dll einen Schädling zu erkennen – damals mit der Avast-Engine. Kaspersky hatte erst kürzlich 64-Bit-Windows-Systeme durch einen Fehlalarm lahmgelegt. Auch der Test von zehn aktuellen AV-Programmen in der aktuellen c't belegt, dass Fehlalarme mittlerweile ein ernsthaftes Problem von Antiviren-Software sind, das dadurch noch verstärkt wird, dass die Hersteller oft keine oder nur unzureichende Informationen darüber bereitstellen, was eine Meldung konkret bedeutet.
Update:
Am 6.11. hat nun auch Kaspersky offiziell bestätigt, dass es sich um einen Fehlalarm handelte. Die Signatur schlug auf Systemen mit deutschem Windows XP SP2 auf einem bestimmten Patch-Stand an. Der Fehler wurde durch ein nachfolgendes Update behoben.
(ju)
