Virenscanner geben Fehlalarm bei AutoCAD

Die AutoCAD-Datei AcSignApply.exe soll den Trojaner Krament enthalten, melden Virenwächter von Kaspersky, F-Secure, Avira, McAfee und anderen. Wahrscheinlich handelt es sich um einen Fehlalarm. Während bislang nur Avira das auch so bestätigt hat, korrigieren auch andere ihre Signaturen bereits: F-Secure und Avira jedenfalls meckern die Datei derzeit nicht mehr an. Trotzdem kommen immer noch neue Hersteller dazu, deren Scanner plötzlich ebenfalls anschlagen.

Wie der ursprüngliche Fehlalarm zustande kam, lässt sich im Nachhinein wohl nicht mehr klären. Wahrscheinlich enthält das Dienstprogramm Funktionen, die potenziell verdächtig sind; jedenfalls gab Avira bereits letztes Jahr dazu einem Krament-Alarm heraus – was natürlich besonders peinlich ist.

Die schlagartige Ausbreitung hingegen lässt sich durchaus erklären. Das liegt unter anderem an der viralen Funktion von Diensten wie Virustotal. Dieser beliebte Dienst untersucht hochgeladene Dateien der Anwender mit derzeit rund 40 AV-Scannern mit aktuellem Signaturstand. Die Ergebnisse reicht er unter anderem auch an die Hersteller weiter. Das führt dazu, dass viele von diesen sich an die renommierten Firmen dranhängen. "Wenn Kaspersky und drei andere das melden und wir nicht – dann müssen wir dringend was unternehmen", lautet die Devise dann.

Da Analyse aufwändig ist und zu lange dauert, bastelt man oft erstmal eine Signatur und meldet irgendwas. So breiten sich auch Fehlalarme in Windeseile aus. Selbst Hispasec als Betreiber von Virustotal hat das bereits als Problem erkannt und spicht vom "Grapevine Virus" – frei übersetzt dem Gerüchteküchenvirus (spanisches Original, Google-Übersetzung).

Update:
Mittlerweile hat auch Kaspersky bestätigt, dass es sich um einen Fehlalarm handelt und seine Signaturen entsprechend aktualisiert. (ju)