Leider gibt es momentan das Problem, dass HardlinkBackup von 3 von 36 Antivirenprogrammen mit der Warnung „not-a-virus:Monitor.MSIL.KeyLogger.er“ bedacht wird. Als ich davon informiert wurde, war ich erstmal geschockt – wie manche Kunden, die z.B. Kaspersky Anti-Virus einsetzen vermutlich auch.
Natürlich denkt man erstmal „oh Gott, hoffentlich habe ich keinen Virus an meine Kunden verteilt“ – denn das wäre wirklich fatal. Meine Nachforschungen haben ergeben, dass die Warnung von einer Bibliothek „Microsoft.Win32.TaskScheduler.dll“ (!!!) hervorgerufen wird, die ich benutze um die Aufgaben im Windows Taskplaner zu erstellen. Diese Bibliothek macht eigentlich nur ganz wenig; sie übersetzt die Windows-Schnittstellen in C# Schnittstellen; ich habe sie mir im Quellcode angesehen und sie macht überhaupt nichts mit einem „KeyLogger“ vergleichbares. Vom Autor der Bibliothek habe ich folgendes Statement erhalten:
I can’t think of anything in the code that could be interpretted as a keylogger. Nothing in the library even captures keystrokes. I’m baffled. Interesting that only Kaspersky finds a problem. All the other virus scanners find nothing. Unfortunately, the virustotal site provides no information to help diagnose the problem.
Über „Monitor.MSIL.KeyLogger.er“ (u.ä.) konnte auch ich keinerlei Informationen im Internet in Erfahrung bringen. Ich habe mich an die drei Antivirus-Hersteller gewandt, die einen solchen Fehlalarm produziert haben und habe von einem (Ikarus) folgende Antwort erhalten:
Sehr geehrte Damen und Herren,
Vielen Dank für die von Ihnen eingesandte Datei.
***** Fehlalarm *****
Bei dieser Datei handelt es sich um einen Fehlalarm. Dieser wurde ausgebaut und wird mit dem nächsten Update nicht mehr auftreten.
Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht auf diese Nachricht.
Mit freundlichen Grüßen
Ihr IKARUS Support Team
Sie wurden betreut von:
Marion Marschalek
———————————-
IKARUS Security Software GmbH
Blechturmgasse 11, A-1050 Wien
Web: http://www.ikarus.at
———————————-
Die neueste Signatur von Ikarus (von gestern) enthält bereits das Update und mosert die Bibliothek und damit HardlinkBackup nicht mehr an. Auf die Antwort von Emisoft und Kasperski warte ich noch vergeblich.
Ich denke, es ist klar, dass es sich um einen Fehlalarm handelt. Zudem ist ja auch kein Virus, sondern nur ein „Risiko“ erkannt worden. Man darf auch keine allzu große Intelligenz von einem Antivirus-Programm erwarten…
Leider kann ich nicht ‚mal eben‘ auf eine andere Bibliothek für den Zweck umsteigen oder die C++-Taskplanungsschnittstellen direkt ansprechen; das würde viel Arbeit bedeuten. Außerdem gehe ich davon aus, dass die Virenhersteller den Fehlalarm – hoffentlich bald – beheben.
Ich muss sagen, ich hatte noch nie einen Fehlalarm und mache das zum ersten Mal durch. So ein bisschen ist das natürlich Rufmord, was die Antiviren-Hersteller hier betreiben. Die Unannahmlichkeiten, die dadurch meinen Kunden entstehen, tun mir sehr leid; dagegen machen kann ich aber nichts.
Update: Mittlerweile habe ich auch eine Antwort von Kaspersky Antivirus bekommen:
Guten Tag,
Sorry, it was a false detection. It will be fixed in the next update.
Thank you for your help.
Regards, Ivan Akimov,
Virus Analyst
„123060, Moskau, Russland, 1. Volokolamsky Proezd 10, Haus 1Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com/de http://www.viruslist.ru„
Ich denke, damit ist das Thema durch.
