So gut (oder besser schlecht) arbeiten Antivirus-Tools

Vergangene Woche bekam ich eine E-Mail, die angeblich ein Fax für mich enthalten sollte (Titel war “You have a fax” oder so ähnlich). Die Mail sah auf den ersten Blick unverdächtig aus. Nur ein kurzer Text und ein Logo eines Dienstes namens “eFax”.

So ganz unwahrscheinlich war es nicht, ein Fax per Mail zu erhalten. Denn erst ein paar Tage vorher hatte ich den entsprechenden Dienst bei T-Online eingerichtet. Mein erster Gedanke war daher: “kaum habe ich eine Faxnummer kommt auch schon irgendein Werbemüll”. Aber dann machten mich 2 Dinge stutzig: 1. ich habe zwar bei T-Online eine E-Mail-Weiterleitung eingerichtet, aber an eine andere Adresse, 2. eine Mail mit englischem Text passt irgendwie nicht ganz zu T-Online.

Antivrus
Misstrauisch geworden, sehe ich mir den Anhang mal genauer an: an der Mail hängt eine gezippte Datei und der Inhalt ist eine Datei namens “EFAX_97901.DOC.exe” und das Icon der Datei sieht einer Word-Datei sehr ähnlich. Damit war eigentlich schon alles klar: es kann sich nur um einen Virus, Trojaner o.ä. handeln. Merkwürdig nur, das beim Entpacken der Datei sich mein Antivirus-Tool (Microsoft Security Essentials) nicht gemeldet hat. Also die Datei mal bei Kaspersky zur Online-Prüfung hochgeladen, aber auch dort wird die Datei als unverdächtig angesehen. Kann doch nicht sein. Nächster Test: die Datei bei Virustotal.com hochgeladen. Dort wird sie von 43 Antivirus-Tools getestet. Das Ergebnis war ganz schön enttäuschend: nur 15 Tools fanden die Datei verdächtig (siehe Grafik rechts.).

Heute habe ich noch einmal bei Virustotal nachgeschaut. Jetzt sind es immerhin schon mal 31 Tools, die die Datei verdächtig finden. Schon besser, aber meiner Meinung noch immer ein enttäuschendes Ergebnis.

Antivrus

Für mich bleibt als Fazit: das beste Tool gegen Viren und Trojaner, die einen auf diesen oder ähnliche Wege erreichen, sind noch immer ein gewisses Wissen über das Betriebssystem, mit dem man arbeitet, und ein gesundes Misstrauen. Ein Tipp, den man nicht oft genug wiederholen kann: den Windows Explorer in jedem Fall so konfigurieren, dass alle Dateierweiterungen immer angezeigt werden. Es ist mir noch immer ein Rätsel wieso die Standardeinstellung das Ausblenden bekannter Dateitypen ist. Wenn einem eine Datei verdächtig vorkommt und das installierte Antivirus-Tool sich nicht meldet, empfehle ich die Prüfung der Datei bei Virustotal.com oder einem anderen Dienst, bei dem sie gleich durch mehrere Antivirus-Scanner geprüft werden.

comments powered by Disqus