Fragen? Antworten! Siehe auch: Alternativlos
Hier ist noch eine besonders fiese, die den Blogpost von G-Data neulich mit ihren Werbeaussagen kontrastiert. Meine Leser haben da offensichtlich weniger Zurückhaltung als ich, auf einzelne Marktteilnehmer zu zeigen. Es gab auch eine Einsendung einer Firma, die in irgendeiner Spezialsoftware ausgerechnet VBScript zum Implementieren von Sonderwünschen nimmt. Das sei jetzt halt so und bliebe eben auch so, wenn die Geschäftsführung kein Geld in die Hand nimmt, da was anderes zu beschaffen. Und gerade G-Data, schreibt er, würde ihnen da regelmäßig die Funktionalität zerschießen. Ich bin mir sicher, dass das bei der Konkurrenz genau so ist. Aber er spricht auch noch ein anderes Problem an, das ich so noch nicht im Blog hatte, nämlich das bei so kurzen Updatezyklen und so einer dynamischen Plattform auch die Reproduzierbarkeit leidet und man beim Support im Wesentlichen seit Jahren mit "bei uns geht's" abgespeist wird und dann aber Ausfälle hat, wo 30 Leute nicht arbeiten können, weil das VBScript-Runtime in Karantäne geschoben wurde. Ich bin mir auch hier sicher, dass das bei anderen Anbietern genau so ist. Das sind schlicht Probleme der Prozesse hinter AV-Produkt-Herstellung, die nicht genug Zeit lassen, um menschliches oder maschinelles Versagen effektiv auszuschließen.
Update: Ein anderer Einsender kommentiert:
die Probleme hatte ich mit unserem TrendMicro-Schlangenöl auch schon. Ein kleines Tool in C# geschrieben, exe gebaut, einer Kollegin der Einfachheit halber per E-Mail geschickt. Ihr TrendMicro: Oh nein, eine exe! In einer E-Mail! Todesgefahr!!1! Ausführen durfte man die exe aber trotzdem.
Warum ich dir das schreibe?
Als ich die exe danach bei mir selbst ausführen wollte, hat sich MEIN TrendMicro auch dagegen gewehrt, weil diese Software offenbar nun auf irgendeiner Blacklist stand. Leute, ich habe das selbst kompiliert, und ich vertraue meinem Code. Das ist in TrendMicro aber offenbar gar nicht vorgesehen.
Selbst kleine Änderungen am Code und damit eine neue Binary haben TrendMicro nicht davon abgehalten, weiter Alarm zu schlagen. Mittlerweile ist aber Ruhe, ohne dass ich reproduzieren kann, was das alles ausgelöst hat.
Meine Theorie wäre, dass es eine Heuristik gibt, Programme grundsätzlich für schädlich zu halten, wenn ihr Hash noch nie irgendwo gesehen wurde. Das wäre jedenfalls eine grobschlächtige Haudrauf-Methode, um gegen Binär-Obfuskatoren vorzugehen. Aber ich habe da keine Einsichten, nur eine Vermutung.
Update: Ein anderer Einsender hat eine bemerkenswerte Beobachtung gemacht:
Vor ca. 15 Jahren mußten wir eine Auflage bei Großkunden erfüllen. Also alles, was wir ablieferten, mußte mit dem xyz Virenscanner geprüft sein.
Sei's drum.
Hatte zum Glück nie irgendwelche Probleme (bzw. kamen die nie an die Oberfläche).Komisch nur:
Immer wenn das jeweilige Abonnement des xyz Virenscanners zur Erneuerung anstand, gab es regelmäßig Virenalarm auf unseren Rechnern. Ich sage nicht, dass man uns da tatsächlich etwas angetan hat, aber so eine "verkaufsfördernde Maßnahme" scheint das wohl zu jener Zeit gewesen zu sein.Das war bei Peter und John gleich, ohne jetzt Produkte direkt zu nennen.
Krass. Könnt ihr das bestätigen?