Kann mein eigenes Programm nicht löschen - von Avira keine Unterstützung...

  • Ich wollte mal das Minimum testen, was im Au3 steht. Weniger als "Exit" ist mir nicht eingefallen, damit das Script kompiliert wird. (Eine leere Datei wird nicht kompiliert.)

    Ein simples ; dürfte wohl das kürzeste gültige Skript sein :P.

    86598-musashi-c64-png

    "Am Anfang wurde das Universum erschaffen. Das machte viele Leute sehr wütend und wurde allenthalben als Schritt in die falsche Richtung angesehen."

    2 Mal editiert, zuletzt von Musashi ()

  • Das Problem dürfte halt der AutoIt-Interpreter sein, der in jeder AutoIt-Exe enthalten ist.

    Wenn die AV-Programmierer nun eine Checksumme von irgendeinem (vermeintlichen) Malwareprogramm erstellen, kommt es halt darauf an, wie diese Checksumme erstellt wird.

    Wenn die Routine nicht sehr genau ist (weil sie ja schnell sein muss), dann spielt der Faktor "Interpreter" eine große Rolle bei der Erkennung und schon sind "alle" AutoIt-Programme als Malware gebrandmarkt.

    Einige AV-Programmierer scheinen sich ja auch mal mehr Mühe zu geben, aber wenn selbst die Großen da oft genug "false positive" ausgeben, sieht es für AutoIt schlecht aus.

  • Ein simples ; dürfte wohl das kürzeste gültige Skript sein :P .

    Interessant! PSPad kompiliert es, SciTE verweigert. :/


    Wenn die Routine nicht sehr genau ist (weil sie ja schnell sein muss), dann spielt der Faktor "Interpreter" eine große Rolle bei der Erkennung und schon sind "alle" AutoIt-Programme als Malware gebrandmarkt.

    Da setzte meine Idee an, der AutoIt3.exe eine neue Checksumme, Signatur, oder was weiß ich was zu verpassen. Damit könnten die alten (AutoIt2?) Prüfmechanismen im letzten Jahrhundert bleiben und eine neue Bewertung für AutoIt3 erfolgt, die vielleicht etwas freundlicher ist.

  • Interessant! PSPad kompiliert es, SciTE verweigert. :/

    Meine SciTE Version (3.5.4) kompiliert es ohne Probleme (auch die .exe ist da). Egal, Exit oder ; machen sicherlich keinen Unterschied.

    Da setzte meine Idee an, der AutoIt3.exe eine neue Checksumme, Signatur, oder was weiß ich was zu verpassen.

    Sollten selbst die AutoIt3.exe und AutoIt3_x64.exe in den "Orkus" wandern, dann fällt bei Weitergabe an Dritte sogar die Option weg, die Skripte als .au3 oder .a3x beizulegen :rolleyes:.


    Bei der Version 3.3.14.0 hat z.B. die Au3Info.exe eine Signatur :

    Signaturgeber : AutoIt Consulting Ltd

    Signaturzeitpunkt : Freitag, ‎10. ‎Juli ‎2015 11:51:45

    Gegensignatur : CN = GlobalSign CodeSigning CA - G2 ,O = GlobalSign nv-sa5

    Interessanterweise fehlt diese bei der AutoIt3.exe und AutoIt3_x64.exe .


    Das Ändern der Checksumme würde wohl, wenn überhaupt, nur kurzfristig etwas bringen.


    Ich werde einige relevante Skripte aber trotzdem auf .a3x umstellen, so wie autoiter bereits vorgeschlagen hat.


    Richtig nervig ist es mit 'alten' Skripten, die seit Jahren zuverlässig bei Kunden laufen, jetzt aber zunehmend kommentarlos gelöscht werden :cursing:.


    Gruß Musashi

    86598-musashi-c64-png

    "Am Anfang wurde das Universum erschaffen. Das machte viele Leute sehr wütend und wurde allenthalben als Schritt in die falsche Richtung angesehen."

    Einmal editiert, zuletzt von Musashi () aus folgendem Grund: typo J statt ;

  • Das Ändern der Checksumme würde wohl, wenn überhaupt, nur kurzfristig etwas bringen.

    Das war so gedacht, dass das öffentlich kommuniziert würde, also den AVs das öffentlich mitteilen, dass es AuotIt3 gibt, und gefälligst nicht auf die automatische Blacklist gehört. ... Gerade wo ich das schreibe, habe ich das Gefühl Don Quichote vs. Windmühlen! :(

  • Gerade wo ich das schreibe, habe ich das Gefühl Don Quichote vs. Windmühlen! :(

    Das Gefühl haben wohl die meisten :cursing:. Ich befürchte aber, dass die Befindlichkeiten einiger 1000 AutoIt-User für MS und die AV's keine Rolle spielen.


    Ich habe 'spaßeshalber' eine kleine Testserie gemacht - folgender Code wurde verwendet :

    AutoIt
    #Region ;**** Directives created by AutoIt3Wrapper_GUI ****
    #AutoIt3Wrapper_UseX64 = N
    #AutoIt3Wrapper_UseUpx = N
    #AutoIt3Wrapper_Res_SaveSource = N
    #AutoIt3Wrapper_Res_Field=CompanyName|AutoIt X86
    #EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
    MsgBox(0, 'Test', 'Hallo Welt !')
    ; Format "c:\"

    (jeweils kompliliert mit UseX64=N und UseX64=Y)

    - die Win 7 .exe habe ich mit AutoIt 3.3.14.0 erstellt

    - die Win10 .exe hat Oscar mit AutoIt 3.3.14.5 erstellt (Danke ;) )


    Ergebnisse von Virustotal.com (X = keine namhaften AV-Programme) :

    Unzertifiziert :

    Code
    Win7-64 Win10-64 Win7-32 Win10-32
    --------------------------------------------------------
    3 von 72 3 von 72 4 von 72 6 von 72
    X AVAST McAfee GW McAfee GW
    AVG X Sophos ML
    X X

    Anschließend habe ich die vier .exe mit einem kommerziellen, und nicht billigen, Zertifikat signiert (COMODO RSA Code Signing) :

    Code
    Win7-64 Win10-64 Win7-32 Win10-32
    --------------------------------------------------------
    2 von 72 2 von 72 1 von 72 3 von 72
    X AVAST X X
    AVG

    Schlussfolgerungen hinsichtlich des Wertes von Zertifikaten bzw. der Zuverlässigkeit von Virustotal darf jeder gerne selbst ziehen :P.


    Gruß Musashi

    86598-musashi-c64-png

    "Am Anfang wurde das Universum erschaffen. Das machte viele Leute sehr wütend und wurde allenthalben als Schritt in die falsche Richtung angesehen."

  • Für mich ist der Sachverhalt in Sachen AVs mehr als deutlich. :rofl:


    Willst du sicherstellen,

    • dass du unbeschadet über die Straße kommst, musst du der Mafia ein Schutzgeld zahlen.
    • dass deine Scripts in keiner AV-Blacklist landen, musst du dir für/von alle/n relevanten AV-Herstellern ein Zertifikat besorgen und ein Schutzgeld zahlen.

    Fazit: Die Mafia kann von den AV-Herstellern noch etwas lernen! 8o

  • Fazit: Die Mafia kann von den AV-Herstellern noch etwas lernen! 8o

    Denk da nochmal drüber nach... :P (Tipp: AV = Mafia)^^

    Einer der vielen Gründe warum ich auf AV verzichte (nur das Windoof eigene, womit ICH bisher keine Probleme hatte).

    Was aber natürlich für "vertriebene" Software keine Lösung darstellt, schon echt ein Armutszeugnis der AV's.


    Wenn man sich so anschaut womit wirklich schadhafte Software oft geschrieben wird, müssten sie eher andere Software eher generell so behandeln^^

  • // Reine Meinungsäußerung


    Außerhalb des administrativen Bereichs ist AutoIt3(!) einfach sehr oft für negative Zwecke genutzt worden. Ich wäre froh, wenn die AVs sich wenigstens den Code ansehen würden und testen würden, ob die Option (Option Leute!!!) gesetzt ist: pragma compile(AutoItExecuteAllowed, False). Wenn dann noch UPX nicht genutzt wird, sollte einer Überprüfung nichts im Wege stehen. Nichts?

    Wohl eher nicht, fürchte ich. Ich scheitere jedenfalls an dem Gedankenexperiment mir vorzustellen, wie der Prozess für ein perfektes AV aussehen sollte. Erleuchtet mich bitte, wenn ihr das besser wisst.


    Kann ich sicher davon ausgehen, dass ein Interpreter-Skript keinen Code nachlädt?
    Kann ich mittels Tests ausschließen, dass Schadcode während der Laufzeit gebildet wird?
    Kann ich für tausende, immer neue Programmiersprachen solche Tests entwickeln?

    Sind meine Tests sicher?


    Wenn ich einer Omi nicht garantieren kann, dass mein AV jede Schadsoftware erkennt, wie gehe ich dann vor?


    Egal welche Parameter und Gewichtungen ich vornehme.. Bei der Historie von AutoIt kann ich mir nicht vorstellen, dass Software in dieser Programmiersprache bei mir ohne ausufernde, nicht rentable Tests auf eine Whitelist käme.

    Man kann sich bei den AV Herstellern melden und versuchen, seine Software kostenlos "whitelisten" zu lassen. Mehr ist wohl nicht drin.

  • Man kann sich bei den AV Herstellern melden und versuchen, seine Software kostenlos "whitelisten" zu lassen. Mehr ist wohl nicht drin.

    Ja, man kann die AV-Hersteller kontaktieren und sie über die "false-positive"-Meldung unterrichten. Habe ich auch schon mehrfach getan.

    Beim nächsten Update ist das dann auch meist behoben, aber...


    - willst Du das für jedes Deiner Programme tun?

    - bei jedem AV-Hersteller?

    - mit jeder neuen AV-Version, die so eine Meldung hervorbringt?


    Wohl eher nicht, oder?


    Was ich von einer "guten" AV-Software erwarten würde, wäre, dass sie nicht die Checksumme von dem Interpreter in die Blacklist aufnimmt.

    Wenn man eine AutoIt-Malware entdeckt, den Bereich von dem Interpreter ausklammern und vom Rest eine Checksumme bilden, die dann in der Blacklist landet.

    So ist die Erkennung weiterhin gewährleistet und es würden nicht alle AutoIt-Programme als "false-positive" erkannt werden.

  • Hi Oscar

    Ich verstehe dich. Aus meiner Sicht, bist du meiner Ausführung aber nicht zu Ende gefolgt.


    Du willst ein Programm erstellen, dass es absoluten Laien, die außer der Google-Leiste im Browser schon nichts finden, eine Antivirensoftware bereitstellen.

    Braucht mir keiner erklären, dass hier schon der Fehler liegt. Ist aber im Bsp gegeben.


    Jetzt ist Interpreter-Software ja genau zu prüfen. Nach dem "Kompilieren" kommt ja kein Maschinencode raus..

    Das heißt doch, man müsste JEDE dieser Sprachen SEHR genau kennen, um Risiken auszuschließen. Oder man müsste aufwendig Testumgebungen für alles bereitstellen, oder nicht?
    Ich würde dann selbst den Rotstift bei Sprachen ansetzen, die in der Vergangenheit negativ aufgefallen sind und ganz blind for einer möglichen Bedrohung warnen.


    Da würde ich das größte Potenzial für uns sehen. Die meisten Scanner schlagen ja gar nicht aufgrund irgendeiner Blacklist gegen den AutoIt-Interpreter an. Ihre Heuristik kommt zu dem Schluss, hier KÖNNTE eine Bedrohung vorliegen.

    Wenn ihr was machen wollt, würde ich bei den AVs nachfragen, ob man nicht die Meldung klarer machen könnte.

    "Wir haben nichts gefunden, aber es könnte sein, dass dieses Programm schädlich ist!"


    Wenn da die Antwort Quatsch und ablehnend ist, würde ich mich an einem Shitstorm beteiligen. Wir würden sicher viele Teilnehmer finden. Allerdings kann es auch sein, dass wir gegen die Antwort nicht viel anderes sagen können als, "aber wir sind doch nicht böse!!!1!11". Damit wäre ich dann raus..

  • Ich habe grundsätzlich nichts dagegen, wenn die AV Programme Autoit als potentiell gefährlich betrachten. Was aber nicht tolerabel ist, dass ich als Anwender der Möglichkeit beraubt werde das Verhalten der AV Software zu bestimmen. Früher kam eine Meldung "Verdächtige Datei XY gefunden. Soll diese Datei in Quarantäne verschoben werden?"

    Heute heißt es lapidar "Die Datei XY wurde in Quarantäne verschoben".

    Diese Bevormundung ist eine Frechheit.

    Ebenso sieht es bei der Aktualisierung der Virensignaturen aus. Konnte ich früher einstellen, automatisch oder manuell. Heute wundere ich mich, warum plötzlich das System nahezu einfriert. Es gelingt kaum den Taskmanager zu öffnen um den Schuldigen zu suchen. Und dies ist die AV Software, die ungefragt neue Signaturen geladen hat und gleich noch einen Systemscan damit macht.

    Von meinem privaten Rechnern habe ich inzwischen AV Software deinstalliert.

    Als Nebeneffekt habe ich eine Beschleunigung des Systems, die deutlich spürbar ist bei jeder Dateioperation.

  • Die meisten Scanner schlagen ja gar nicht aufgrund irgendeiner Blacklist gegen den AutoIt-Interpreter an. Ihre Heuristik kommt zu dem Schluss, hier KÖNNTE eine Bedrohung vorliegen.

    Früher kam eine Meldung "Verdächtige Datei XY gefunden. Soll diese Datei in Quarantäne verschoben werden?"

    Heute heißt es lapidar "Die Datei XY wurde in Quarantäne verschoben".

    Darin sehe ich die große Unverschämtheit der AVs, denn es ist schlichtweg Diskriminierung! Die AVs handeln bei AutoIt eben NICHT angemessen und es wird KEINE Ermittlung der Bedrohung durchgeführt. Wie die (fast) leeren, kompilierten Scripts beweisen, erfolgt ein pauschale Einstufung. UND die blöden AVs gehen NICHT davon aus, dass ein Programm gefährlich sein KÖNNTE, nein sie diskriminieren AutoIt und behaupten eine Bedrohung gefunden zu haben!


    Da dies Behauptung nachweislich falsch ist, ist es eine Lüge! Was mich dabei fassunglos ärgert ist, dass die Lügner nicht bestraft werden können. Im Gegenteil, die Lügner bestrafen uns! Sie nutzen ihre Machtposition aus. :cursing: Wären hier aus juristischer Sicht Personen (juristische oder natürliche) betroffen, könnte vielleicht schon der Strafbestand der Verleumdung gegeben sein. (Da ich kein Jurist bin, ist das ohne Gewähr.)


    Gäbe es nur eine Möglichkeit die AVs zu bestrafen. Als Entwickler können wir mit sovielen Tricks arbeiten, wie wir wollen, es nutzt nichts. Wir können auf unseren PCs Verzeichnisse für das AV von der Prüfung ausnehmen, oder die AVs ganz deinstallieren, das juckt doch keinen AV-Hersteller. Der lacht uns aus, und wenn auf dem Zielrechner für unsre AutoIt Programme ein AV läuft, wird unser Programm gelöscht! ... Wenn ihr genau hinhört, könnte ihr im Hintergrund ganz leise das hämische Lachen der AVs hören: Muhaha! ;)

  • Cloudbasierten Schutz habe ich schon vor einiger Zeit abgeschaltet. Ich glaube, weil der Win Defender alle paar Wochen meinte, er müsse willkürlich ausgesuchte Dateien löschen, die schon seit Jahren auf meinem PC waren und nie angemeckert wurden. Und zwar ohne mich zu fragen!

  • Naja, ich sehe die Problematik der "Programmierer" nicht!

    Man sollte das mal ganz klar kommunizieren:

    Definitiv mindestens 90% aller "Schadprogramme" werden durch C&P erstellt. Mindestens die Hälfte aller "sonstigen" (für die breite Öffentlichkeit erstellten) Software ebenfalls. Völlig Programmiersprachenunabhängig!

    Und genau JETZT wird sich beschwert, dass sich die "Programmierer" von AV-Software genauso verhalten?! Die kupfern doch, sowohl was die Black/Whitelisten angeht, als auch die sog. "Heuristiken", gnadenlos voneinander ab.

    Mit möglichst geringem Aufwand möglichst viel Geld verdienen seitens Softwareersteller aka "Programmierer", und mit möglichst wenig Geldeinsatz möglichst viel "Programm" erhalten seitens Anwender.

    Da muss man sich nicht wundern, dass dieses "Vertriebskonzept" nicht funktioniert.


    Und NEIN, uns als AutoIt-Scripter, die "mal eben schnell" für die oben schon genannte Omi/Freunde/Arbeitgeber ein Script schreiben, sollte ein AV-Programm auch nicht interessieren. ICH zumindest habe kein Problem mit aktuellen Virenscannern. Wenn sich bei mir einer beschwert, dass sein Script aufgrund AV nicht mehr funktioniert, dann frag ich ihn, wieso er dieses AV-Programm überhaupt einsetzt. Allein die Beantwortung dieser Frage zwingt den Anwender nämlich, über SEIN EIGENES VERHALTEN nachzudenken! Ich kenne niemanden, der "mal eben so" eine Software wie einen Virenscanner installiert. Die allermeisten Leute haben genau dafür einen sehr triftigen Grund. Keine Malware erscheint plötzlich und unvermittelt auf einem Rechner! JEDES dieser Schadprogramme wurde vom Anwender bzw. einer möglichst billig/preiswert/umsonst erworbenen Software heruntergeladen.

    Und weil nicht die Frage ist, ob mein AutoIt-Script einen Virus enthält, sondern ob das AV-Programm einen Virus erkennt, habe ich auch absolut kein Problem damit den Anwender/Arbeitgeber mit der Frage zu konfrontieren, ob er mir mehr vertraut als dem AV-Programmhersteller.


    Mein Arbeitgeber ist wach geworden, als ich folgendes "Experiment" gemacht hatte:

    Einen "nackten" Digisparc für einige Euros auf meinen Namen in die Firma bestellt und die Administratoren und Heeresleitung zum Meeting gebeten. Den Digisparc ausgepackt und "Online" mit einer Tastaturemulation programmiert. Völlige Verständnislosigkeit allenthalben bei den Anwesenden was ich da mache....

    Da klingelt das Telefon des Admins (natürlich völlig "zufällig" :whistling::saint::evil:) und während er das Gespräch etwas abgewendet entgegennimmt, stecke ich den in den letzten 5 Minuten "scharfgemachten" Digisparc in seinen Laptop. Nach ca. 30 Sekunden ziehe ich das Ding wieder ab, unser Admin ist nun kurz darauf wieder bei der Sache und sitzt an seinem Laptop. Ich bitte um Darstellung unwichtiger Firmendaten, der Admin loggt sich ein.....

    Ich bitte den Geschäftsführer, auf seinem Handy im Browser eine Webadresse anzuwählen und vorzulesen, was dort steht. Er liest die Admin-Logindaten vor und einige weitere geschäftsrelevante Daten incl. einem Downloadcounter von "heruntergeladenen" Daten....

    Unsicheres fragen an mich, was das soll! Gegenfrage von mir, ob ein einziges der teuren AV-Programme im gesamten Firmennetz auch nur gezuckt habe....

    Der Admin prüft und meldet:" Seitens Antimalware/Virenscanner keine Vorkommnisse!"

    Immer noch völlige Verständnislosigkeit der Anwesenden.

    Da habe ich es auf den Punkt gebracht:" Sie können aktuell, egal mit welchem Betriebssystem und Antimalwaresystem NICHT verhindern, dass Anwender, in unserem eben gezeigten Fall sogar vom Admin völlig unbeabsichtigt, die EDV kompromittieren!"

    Ja, wir können am Mailserver sämtliche Anhänge und Links aus den Mails entfernen/prüfen. Wir können auch viel Geld in AV-Systeme stecken, damit verhindert wird, dass wie auch immer ins System gekommene "Viren" ausgeführt werden. Und GENAU DAS ist die Frage, was bedeutet genau "wie auch immer ins System gekommen"?!


    Wenn jemand sich beschwert, dass ein "Virenscanner" einfach ungefragt Programme löscht, dann ist das heuchlerisch. Denn GENAU DAS erwarte ich von einem AV-Programm! Und genau deshalb existieren auch völlig überflüssige Seiten wie Virustotal.com!

    Nach dem Motto:"Wasch mich, aber mach mich nicht nass!" soll AV-Software nur "richtige" Viren erkennen:Face:


    In den letzten 40 Jahren mit teilweise intensivstem Kundenkontakt habe ich eins gelernt: Anwenderverhalten ist nicht zu ändern!

    Wenn also das nächste Mal irgendein Anwender eurer Scripte/Programme einen "Virus" bemängelt, fragt knallhart nach, ob er (der Anwender) dann nicht lieber auf euer Script/Programm verzichten sollte!

    Entweder das Script enthält einen Virus und dann ist alles in Ordnung, oder das AV-Programm ist fehlerhaft. Und aus welchem Grund soll jemand wissentlich fehlerhafte Software einsetzen? Fehlerhaft arbeitende Programme sind überflüssig und gefährlich. Im Fall von AV-Programmen löschen sie sogar ungefragt andere Software! Wer dieses Verhalten akzeptiert, dem ist nicht mehr zu helfen....

  • Andy


    Es tut mir furchtbar leid, aber ich sehe hier nur, dass du Fehler, Mängel und Lücken aufzeigst, aber keine Lösung. Klar, du brauchst keine Lösung zu zeigen, aber deine Retorik liest sich so, als ob du dich über den Problemen stehend darstellen willst. Entschuldige, wenn ich mich irre, es ist nicht beleidigend gemeint. Deshalb sage ich auch ausdrücklich, dass das nur mein Eindruck ist.

    Naja, ich sehe die Problematik der "Programmierer" nicht!

    ICH zumindest habe kein Problem mit aktuellen Virenscannern.

    Das hört sich für mich an, als ob du eine Lösung für unser angesprochenes AV Problem hättest.

    Wenn jemand sich beschwert, dass ein "Virenscanner" einfach ungefragt Programme löscht, dann ist das heuchlerisch. Denn GENAU DAS erwarte ich von einem AV-Programm!

    Das ist ja interessant! Du findest uns also heuchlerisch! Ich kann nichts heuchlerisches daran finden, wenn wir als User ein AV erwarten, das den User NICHT entmündigt. Ich bin der Meinung, die Entscheidungen auf meinem Computer habe ich zu treffen. Daran kann ich nichts heuchlerisch finden.


    Nach dem Motto:"Wasch mich, aber mach mich nicht nass!" soll AV-Software nur "richtige" Viren erkennen :Face:

    Wie schon gesagt, deiner Retorik kann ich nicht ganz folgen. Ein AV soll nur richtige Viren erkennt. Wo ist denn da der Bezug zu "Wasch mich, aber mach mich nicht nass!"? Ist es denn nicht vielmehr die eigentliche Aufgabe des AV, Viren zu erkennen?


    Dein Beitrag liest sich für mich recht kontrovers und ich verstehe leider nicht, was du letztendlich sagen willst. Einerseits sagst du:

    In den letzten 40 Jahren mit teilweise intensivstem Kundenkontakt habe ich eins gelernt: Anwenderverhalten ist nicht zu ändern!

    Andererseits sagst du:

    Wenn sich bei mir einer beschwert, dass sein Script aufgrund AV nicht mehr funktioniert, dann frag ich ihn, wieso er dieses AV-Programm überhaupt einsetzt. Allein die Beantwortung dieser Frage zwingt den Anwender nämlich, über SEIN EIGENES VERHALTEN nachzudenken!

    Ehrlich, ich verstehs nicht. Wenn du doch gelernt hast, dass Anwenderverhalten nicht zu ändern ist, warum zwingst du denn dann den Anwender, über SEIN EIGENES VERHALTEN nachzudenken? Willst du damit wider besseres Wissen sein Anwenderverhalten ändern?


    Auch die Frage "wieso er dieses AV-Programm überhaupt einsetzt" verstehe ich nicht. Sie klingt provokativ. Ist sie retorisch gemeint? Es tut mir wirklich leid, aber ich verstehe beim besten Willen nicht, was du sagen willst. Willst du dass man keine AV Programme? Oder nur "dieses" AV Programm? Bitte sei nicht böse, ich versuche ja, dich zu verstehen, aber leider gelingt mir das nicht. :(

  • Hallo Professor Bernd

    Eine der wenigen Textstellen, die du nicht zitiert hast, halte ich schon für eine Lösung ;)

    Und weil nicht die Frage ist, ob mein AutoIt-Script einen Virus enthält, sondern ob das AV-Programm einen Virus erkennt, habe ich auch absolut kein Problem damit den Anwender/Arbeitgeber mit der Frage zu konfrontieren, ob er mir mehr vertraut als dem AV-Programmhersteller.

  • Hallo Professor Bernd

    Eine der wenigen Textstellen, die du nicht zitiert hast, halte ich schon für eine Lösung ;)


    ==> bezieht sich auf den Beitrag von Andy :

    [...] Und weil nicht die Frage ist, ob mein AutoIt-Script einen Virus enthält, sondern ob das AV-Programm einen Virus erkennt, habe ich auch absolut kein Problem damit den Anwender/Arbeitgeber mit der Frage zu konfrontieren, ob er mir mehr vertraut als dem AV-Programmhersteller. [...]

    Man kann einem Anwender aber nur dann diese Vertrauensfrage stellen, wenn man ihn auch kennt. Bei Arbeit-/Auftraggebern ist das sicher der Fall. Stellt man z.B. aber (unbekannten) Dritten ein mit AutoIt geschriebenes Tool zum Download zur Verfügung, dann wird die Sache schwierig.

    Und genau JETZT wird sich beschwert, dass sich die "Programmierer" von AV-Software genauso verhalten?! Die kupfern doch, sowohl was die Black/Whitelisten angeht, als auch die sog. "Heuristiken", gnadenlos voneinander ab.

    Mit möglichst geringem Aufwand möglichst viel Geld verdienen seitens Softwareersteller aka "Programmierer", und mit möglichst wenig Geldeinsatz möglichst viel "Programm" erhalten seitens Anwender. Da muss man sich nicht wundern, dass dieses "Vertriebskonzept" nicht funktioniert.

    Sehe ich weitgehend auch so !

    Heuristik beinhaltet nun mal den Aspekt der Wahrscheinlichkeit/Vermutung.

    Der Anspruch, eine AV-Software dürfe nur 'echte' Viren erkennen ist also ähnlich sinnhaft, wie sich mit Nutella die Zähne zu putzen :P.


    Es wäre allerdings wünschenswert, wenn (zumindest die kostenpflichtigen) Antivirenprogramme, und dazu zähle ich auch den Windows Defender, mir ein Mindestmaß an Mitspracherecht einräumen.

    Bei Sicherheitsgurten, Fallschirmen, Kondomen usw. erwarte ich, dass sie ungefragt ihren Dienst verrichten.

    Bei AV-Software wäre mir ein Setting wie :

    "Sollen erkannte Bedrohungen ungefragt gelöscht werden ? [Default=NEIN]"

    aber deutlich lieber.


    Gruß Musashi

    86598-musashi-c64-png

    "Am Anfang wurde das Universum erschaffen. Das machte viele Leute sehr wütend und wurde allenthalben als Schritt in die falsche Richtung angesehen."

  • Der Anspruch, eine AV-Software dürfe nur 'echte' Viren erkennen ist also ähnlich sinnhaft, wie sich mit Nutella die Zähne zu putzen :P .

    Ich weiß jetzt nicht, wer das ursprünglich so verdreht hat, aber hier ging es nicht darum, eine AV-Software dürfe nur 'echte' Viren erkennen, sondern darum, dass AutoIt Scripts grundsätzlich als Bedrohung zu diskriminieren, auf uralten, seit Jahren bekannten, nicht mehr gültigen Bewertungen beruhen. Es geht darum, dass es seit Jahren bekannt ist, dass es Fehlalarme sind. Ich weiß auch gar nicht, ob es überhaupt die Heuristik ist, die Dateien löscht. Denn die Fehlalarme besagen nicht, dass die Heuristik eine Bedrohung vermutet,sondern die Malware-Erkennung sagt, dass es einen Trojaner identifiziert hat, und nennt einen genauen Namen! Wie kann das denn sein, wenn kein Trojaner da ist!? Die AVs haben Bugs. Jeder von uns würde in seinem Programm einen Bug beseitigen, sobald er davon erfährt. Spätestens beim siebenundzwölzigsten Hinweis von einem User! Es geht nicht darum, nur echte Viren zu erkennen. Es geht darum, den Bug zu beseitigen, der AutoIt Dateien löscht!