False Positive - Fehlalarm vom Virenscanner
Mit einer gewissen Ironie, kann man sich fragen: Wovon geht die größere Gefahr aus – von Computerviren oder vom genutzten Virenscanner?
Denn es gibt eine Gefahr, die immer existiert, die der sog. False Positives (FP). Dabei handelt es sich um einen Fehlalarm, der durch den Virenscanner ausgelöst wird. Der Virenscanner erkennt eine Schadsoftware in einer Datei oder einem sicherheitsrelevanten Objekt (Speicher, Registry etc.) und löscht bzw. blockiert dieses.
Schadsoftware, wie Computerviren, Trojaner und Bots werden über verschiedene Technologien erkannt. Ermittelt der Hersteller eines Virenscanners eine Erkennungsmethode, wird diese während der Qualitätskontrolle ausgetestet. Ergeben sich dabei keine Probleme oder Fehlalarme, wird die Erkennungsmethode freigegeben.
Die Qualitätskontrolle der Antivirus-Hersteller kann aber nicht alle existierenden Dateien überprüfen (Zeit- und Mengenproblem),die es weltweit gibt, so dass immer nur eine Teilmenge als Referenz herangezogen wird. Dies führt dazu, dass sich bei der Verwendung der Erkennungsmethode (z.B. Signatur) durch den Anwender FP's auftreten können. In diesem Fall werden harmlose Dateien bzw. Objekte als Schadsoftware erkannt, die aber nur rein zufällig in das Muster der Erkennungsmethode passen.
Falls der Virenscanner so eingestellt ist, dass er Schadsoftware automatisch löscht, kann diese sinnvolle Option bei einer fehlerhaften Erkennnung zu Folgeschäden führen. Denn irrtümlich können so Systemdateien oder Komponenten von Anwendungsprogrammen gelöscht werden. Im ungünstigsten Fall ist danach der Computer nicht mehr startfähig oder das Anwendungsprogramm stürzt ab oder verhält sich falsch.
Als generelle Empfehlung gilt daher: Keine festgestellte Schadsoftware, ohne Bestätigung durch den Anwender löschen lassen!
Übersicht zu einigen bekannten False Positive-Alarmen:
| AVAST | 2014/07 | Android-Virenscanner meldet Krypto-Messenger TextSecure als "Android:Banker-BW" | Link |
| AVG | 2013/03 | Fehlerkennung von Trojaner "Generic32. FJU" in Windows-Systemdatei wintrust.dll | Link |
| SOPHOS | 2012/09 | False Positive für "Shh/Updater-B" | Link |
| MSE | 2011/10 | Verdacht auf Banking-Trojaners "PWS:Win32/Zbot" bei CHROME | Link |
| GData/Avast | 2011/02 | Fehlerkennung "HTML:SetHome-A" auf Webpage | Link |
| McAfee | 2010/04 | Fehlerkennung in Datei "svchost.exe" bei XP/SP3 | Link |
| Ikarus | 2010/02 | False Positive von "Trojan.Damaged.Gen2" | Link nicht mehr verfügbar: " |
| Kaspersky | 2010/01 | Fehlerkennung von "Trojan.js.redirector.ar" bei Google-Anzeigen | Link |
| Bitdefender | 2009/02 | Trojaner-Fund in XP-Datei "Winlogon.exe" | Link |
| F-Secure | 2009/04 | Fehlerkennung in XP Systemdatei "wmiprvse.exe" | Link |
| Avast | 2009/12 | Fehlerkennung "Win32:Delf-MZG"Trojan | Link |
| GData | 2008/01 | Trojanerfund in der Systemdatei "user32.dll" | Link |
| Trend Micro | 2008/09 | Generische Fehlerkennung in Dateien von "Troj_Generic" | Link |
| AVG | 2008/11 | Fehlerkennung von "install_flash_player.exe" als Trojaner PSW.Generic6.AQPD | Link |
| AVIRA | 2007/03 | Fehlerkennung von "Backdoor.Haxdoor" in "netapi32.dll" und "lsasrv.dll" | Link |
| Symantec | 2007/05 | Fehlerkennung von "Backdoor.Haxdoor" in "netapi32.dll" und "lsasrv.dll" | Link |
| SOPHOS | 2006/02 | Fehlererkennung von "OSX/Inqtana-B worm" für Mac OS X | Link |
Link: Ergebnisberichte zu False-Alarm Tests von AV-Comparatives