Schlangen Öl

[Andreas Kapust]

In all den Jahren der Software-Entwicklung hat man ja bereits einiges von Anbietern von sogenannten Antivirus-Protektoren gehört und miterlebt.

So berichteten uns Kunden vor Jahren das xxxxx mal das halbe Programm-Verzeichnis bei der Installation ihrer Applikation leergefegt hat, weil ihre Exe-Datei angeblich einen Virus enthielt. Eine Gegenprobe bei Virus-Total ergab aber rein gar nichts.

Probleme bei Norton, Kaspersky, Bitdefender oder etlichen anderen Anbietern, die es heute gar nicht mehr gibt oder die mehrfach aufgekauft aber nie verbessert wurden.

Unser Allheilmittel war bisher immer „Signieren sie ihre Software, besser noch: benutzen sie ein ev Zertifikat“. Die allermeisten Anbieter waren dann so schlau diese Datei, vorausgesetzt das Zertifikat war gültig, wohlwollend zu behandeln.
Bei all diesen Schwierigkeiten fiel G-Data nie unangenehm auf, wo andere mit Heuristik angeblich etwas erkannten, handelte G-Data korrekt.

Das war einmal.

Mit der Signatur vom 14.11.25 hat sich das leider geändert. Die BSBoot.exe des AKInstallerMSI wurde plötzlich als Gen:Variant.Application.Ulise.126863 (Engine A) eingestuft, obwohl seit Wochen unverändert und mit einem gültigen ev Zertifikat und Timestamp ausgestattet.

Da dies uns direkt betraf, hat der Autor das Problem untersucht.
Ein erneutes kompilieren und testen ohne Zertifikat erzeugt immer wieder Gen:Variant.Application.Ulise.126863 (Engine A). Jetzt könnte man meinen, es wäre irgendetwas im Code, was zu dieser Einstufung führen würde. Würde man, wenn man sich nicht schon Jahre mit dieser Art von Software rumschlagen würde.

Nach etlichen Tests kam schließlich heraus, dass der Knackpunkt das Main-Icon der Datei ist.
Und ja, das war tatsächlich der zweite Ansatzpunkt des Autors, auch wenn Kollegen erst skeptisch waren. Der Erste war tatsächlich der Name der Datei. Man kennt diese Pappenheimer.

Wird diesem Icon die Größe 256x256 hinzugefügt erfolgt keine Einstufung als Gen:Variant.Application.Ulise.126863 mehr (wohlgemerkt das Icon wurde von uns selbst erstellt). Wird 256x256 entfernt und dann 64x64 oder 128x128 hinzugefügt (256 Pixel ist komplett unnötig) erfolgt die Einstufung als Gen:Variant.Application.Ulise.126863.

Zusammenfassend: G-Data stuft also eine EXE die mit einem gültigen Extended -Validation-Zertifikat signiert ist als Gen:Variant.Application.Ulise.126863 ein, weil dem Main-Icon die Größe 256x256 fehlt? Bitte WAS? Ein Icon ist eine nicht ausführbare Ressource, WTF?

Das wirft die ernsthafte Frage auf, wie zuverlässig ist die Art von Software wirklich? Oder liegt es an der allgemeinen immer mehr abnehmenden Anzahl an Mitarbeiter, die für die Qualitätskontrolle in der IT vorhanden sind. Weil das angeblich KI übernehmen kann?
JA, diese Software kann schützen, das tut der Windows Defender aber auch und der ist bereits an Bord.

Sind Antivirus-Protektoren wie viele Admins immer wieder sagen wirklich nur Schlangen Öl?

Mit dem oben geschilderten Verhalten macht sich G-Data jedenfalls lächerlich und reiht sich somit die die lange Reihe der fehlerhaften Produkte ein. Schade.

Die Datei wurde als FALSE POSITIV eingereicht, mit Stand dieses Posts gibt es weder eine Antwort von G-DATA noch wurde die Signatur berichtigt.
Soviel zum Thema Qualitätskontrolle in der IT in einem Unternehmen, das aus mehr als 10 Mitarbeitern besteht - vermutlich.