Die spinnen die Aviraner ...

[Bisonte]

Da kauft man sich eine neue Platte, schubst sein Windows rauf, und dann denkt man sich,
och mal eben schnell Avira nehmen...

Dann sucht Avira 2012 also fleissig nach potentiellen Gefahren und findet nichts....
aber dann kommt das Ding zu dem Ordner in dem diverse kompilierte "exe" von Purebasic
liegen. Und schon piepst und leuchtet Avira auf wie ein Weihnachtsbaum.



Sind die nicht mehr ganz dicht ?
Wenn selbst ein "Hallo Welt" per MessageRequester gleich die Pfeiftirade losgehen lässt, stimmt
doch bei denen hinten wie vorne nix...

Ist übrigens laut virustotal der einzige scanner der bei den Executables anschlägt.

Das ist ja eigentlich kein Problem. Avira weg und anderer Scanner...
ABER : Kunden haben den nunmal installiert, und wenn Avira dann bei jedem Executable Alarm
schlägt, ist das schlecht für den Programmierer, der nix dafür kann...

Kann man die eigentlich verklagen ?

Das musste mal raus...

[WPö]

Jaja, das Problem hatten wir ja nun schon öfters. Fast immer ist es Avira unter den Virenscannern, der die Fehlalarme produziert. Selbst nutze ich zwar auch Avira, aber das Verzeichnis auf meiner Netzwerkplatte mit allen Purebasic-Projekten ist ausgenommen (Einstellungen in Avira). Somit habe ich keine Probleme. Um aber Otto Normali, der sich in diese spezielle Thematik nicht eingearbeitet hat (muß er nicht, dafür ist er Anwender), nicht das Gefühl von massiver Virenverseuchung bei allem zu geben, was mit Purebasic zu tun hat, sollte man ernsthaft einmal mit dem Hersteller reden. Wie wäre es mit einer Petition, die alle Betroffenen oder generell Interessierten aus dem Forum elektronisch unterschreiben, damit man sie bei AntiVir einreicht?

Gruß - WPö

[Ramihyn_]

Ja, Avira hat das Problem auffallend oft, aber die einzigen sind die nicht. Auch bei Norton oder F-Secure musste ich schon die PureBasic development Verzeichnisse als Ausnahmen eintragen um nicht dauernd Probleme mit PureBasic oder den erzeugten Executables zu haben.

Manchmal sind es die Linker Vorgänge die abgebrochen werden, manchmal der Start des Debuggers der sich aufhängt weil ein Antivirenprogramm eingreift und bei PureVision werden plug-in's geblockt.

Was mir allerdings mehr Sorgen macht, ist das es scheinbar einen generellen Trend weg von blacklisting, heuristik und Sandbox Analyse hin zu whitelisting gibt.

Virenscanner generell sind ein eher untaugliches Mittel. Fernhalten tun sie nur bekannte oder wirklich dämliche Angriffe.

[CSHW89]

Ja immer wieder das selbe Problem mit Avira. Hatte damals, als ichs auch benutzt hab, mal ein paar Tests gemacht. Ich weiß nicht, obs heut noch so ist, aber damals schlug Avira sogar bei einem Programm ohne Quellcode an (also leere Datei kompiliert).
Aber wie schon Ramihyn_ sagte, ist das nicht nur ein Problem von Avira. Ich benutze z.Z. Avast, und bei dem häufen sich auch immer mehr die Meldungen, wenn ich eine PB-exe (oder generell auch andere Programme, bei denen ich der Quelle vertraue) starten will.
lg Kevin

[Bisonte]

Alles schön und gut, aber wenn dem "Anwender" gesagt wird,
setze mein Programm auf die Ausnahmeliste oder installiere einen
anderen Scanner, dann wars das mit dem Verkauf. Genauso, wenn
das Ding anschlägt. Das spricht sich rum, und dann heisst es :
von da kommen immer Trojaner oder sonstwas, kauf das nicht.

Und selbst wenn man dem Center dort eine Datei schickt, ist
sie entweder erst nach Wochen im Update dabei oder gar nicht.
Und spätestens nach 3 Updates wird das ganze wieder als
virulent verschrien, obwohl sich an der Exe nicht ein Bit geändert
hat.

Also im Volksmund nennt man das Verleumdung. Wäre mal interessant
zu erfahren wie es wäre, wenn Avira sich einer Massenklage erwehren
müsste....

Edith sagt : Wenn das mit denen so weiter geht, muss man sich bald
Installer gefallen lassen, die nichts installieren wenn Avira gefunden wird

[NicTheQuick]

Hm... Das ist jetzt vielleicht ein Schuss in den Ofen, aber kann es sein, das Avira gerade bei so kleinen "Hello World"-artigen Programmen anspringt? Was ist mit größeren Projekten, die ihr in PB geschrieben habt, und sei es nur eine Grafikdemo oder ein weiterer Wecker für's Systray? Springt Avira da immer noch an? Ich könnte mir nämlich vorstellen, dass die Heuristik bei größeren Programmen besser erkennen kann, dass das Programm keine Gefahr darstellt.

[PMV]

Ich denke auch, das vorallem kleine Programme eher der Heuristik in
die Arme laufen. Avast z.B. hat gerne meinen Mini-Chat angemahnt, welcher
nichts weiter hat als eine Konsole, dessen Eingaben über das Netzwerk gesendet
werden. Doch Avira scheint immer wieder alle X Updates nen Problem
zu generieren, welches Temporär besteht, somit kann es wohl auch mal
größere Programme treffen. Als Entwickler kann man nicht mehr tun,
als seinen Kunden zu versichern: Da ist kein Virus. Und wer meint,
nur weil ein Virenscanner nicht anspringt sei man sicher, der irrt.
Programme zu installieren bedeutet dem Entwickler des Programmes zu
vertrauen. Und zwar mit und ohne Virenscanner. Wer dem
Entwickler misstraut, darf seine Software nicht runter laden und schon
garnicht starten.

Und mir fällt auch inzwischen immer mal wieder auf das in FAQs tatsächlich
bereits dieses Thema angesprochen wird. Da steht dann oft soger nur,
dass man dies getrost ignorieren kann.

MFG PMV

[Ramihyn_]

So ist es ja auch mit Signaturen. Signiere Deine Software mit einem Zertifikat auf den Namen Deiner Firma.

Ist das jetzt vertrauenswürdig? - Im besten Fall eben nur so vertrauenswürdig wie Du bzw. die Firma ist

Von Einbrüchen bei Registraren bzw. deren Wiederverkäufern oder anderen Methoden sich Zertifikate zu erschleichen, mal abgesehen. Insofern finde ich die Sandbox Methode die sich immer mehr durchsetzt auch erst einmal grundsätzlich gut. Wäre doch gut wenn ein Spiel eben keine Zugriffsrechte auf das ganze System inclusive Browsinghistory, Mails, Briefen, Kontakten, gespeicherte Passwörter, Banking Infos und sonstwas bekommt Dann kann man auch wieder EA "vertrauen".

Aber da brauchen wir uns wohl sowieso nichts vormachen, die ersten die dann sowieso Zugriffsrechte "für alles" bekommen, sind Firmen wie EA. Aber das ist ein anderes Thema.

Ach ja - ein zwei Vorteile haben Signaturen allerdings schon. Man kann Manipulationen an der Software damit leichter feststellen und wenn Missbrauch damit stattfindet, kann man sie auch sperren bzw. zurückziehen.

[Danilo]

Kann es sein das dieses Avira nur -oder vor allem- anspringt, wenn die EXE sehr
klein ist? Dann vermutet es vielleicht einen Keygen, Patch o.ä. und schaut erst
dann genauer.

Was wäre nun, wenn man die EXE größer macht, ohne den Programmablauf
zu bremsen? Zum Beispiel durch eine Resource oder Datasection mit z.b. 300k
Daten. Meckert das Ding dann auch noch?

Mir ist bekannt das manche Antivirenprogramme verschiedene EXE-Packer
bemängeln. Mit MS Security Essentials hatte ich allerdings noch nie Probleme
dieser Art wie ihr es hier beschreibt.

Da man dem Kunden aber nicht vorschreiben kann, nicht Avira zu benutzen,
sollte man dringend nach einer Lösung suchen. Und dabei muß man fragen
*warum* das Ding bei genau *welchem* Code auslöst oder ob das nur bei
EXEs kleiner 100 oder 50 kb passiert und so weiter...

Was man mit PB schreiben kann, kann man ja genauso gut in C schreiben
(nur muss man sich da die Funktionen der PB-Libs genau einmal selbst schreiben),
und dann ist das Ergebnis auch so klein.

Beschweren scheint nicht dauerhaft zu helfen, also ist es an der Zeit mal
selbst zu analysieren und nach richtigen Lösungen zu suchen, wie man das
Problem umgehen kann. Und dazu muss man erstmal wissen was genau das
wirkliche Problem ist. Sind es z.B. immer Netzwerkcodes oder was wird bemängelt?

Falls ein einfaches "Hello World" in der MessageBox bemängelt wird, tut es das
auch wenn man das mit C oder ASM schreibt?
Das macht keinen Sinn, diesen einfachen API-Aufruf mit 4 Parametern zu bemängeln,
deshalb vermute ich eher das die EXE-Größe das Problem sein könnte.
Das wäre natürlich auch Dumm. Aber wenn es nunmal so ist, muß man eine Lösung
finden und zur Not eben die EXE um 50k größer machen.

Die Gefahr ist sehr groß, dass Kunden eher ihrem Virenscanner glauben als einem
fremden Entwickler, von dem sie etwas runtergeladen haben.

[WPö]

Da dieses Thema ein Dauerbrenner ist, und der Hersteller von Avira kaum dazu bewegt werden kann, für "so ein paar Spinner mit einer exotischen Programmiersprache " den Aufwand der kompletten Fehlersuche zu betreiben, starte ich hiermit einfach einmal eine Umfrage unter allen PB-Programmierern, die Avira benutzen und Virenwarnungen erhalten.

Zunächst zu denen, deren EXE-Dateien angemeckert werden:
Wir brauchen eigentlich den Quelltext, aber nicht jeder will den gleich rausrücken. Alternativ gehts auch mit einem lauffähigen Kernstück, das dieselbe Virenwarnung provoziert. Die Dateigröße der EXE-Datei und die Versionen von PB, mit der kompiliert wurde und von Avira inkl. Definitionsdatei sind interessant, dito Betriebssystem. Welche Virenwarnung genau wurde ausgegeben? Um das Muster einzugrenzen bitte auch die Namen aller Bibliotheken aufzählen, aus denen Funktionen verwendet werden. Das erleichtert die Zuordnung von Virenwarnung zu anfälligem Untersystem (z.B. Netzwerkzugriffe). Sofern mehrere Betriebssystem verfügbar sind, bitte auf allen testen und entsprechende Meldungen schreiben. Im Falle von Linux ist freilich die Kernversion interessant und die Distribution in welcher Version.

Jetzt zu denen, die von Avira schon bei der Programmentwicklung mit'm Debugger belästigt werden:
Auch hier sollten wir einen Quelltext erhalten (evtl. abgespeckt), die ungefähre Anzahl der Quelltextzeilen (ohne Kommentare und Leerzeilen), die PB-Version, die Avira-Version, die Betriebssystemversion, die genaue Virenwarnung und eine Liste der verwendeten Bibliotheken.

Um Wildwuchs zu reduzieren:
EXE für kompilierte Programme schreiben, Debugger für Programme in der Entwicklung mit'm Debugger und Interpreter ohne Debugger. Sollte die Virenwarnung bei mehreren Programmformen auftauchen, genausoviele Einträge schreiben.

Ein Beispiel könnte so aussehen:

• EXE 19,7 kB
• PB 4.51, Avira 9.2.24, Win XP pro 32bit SP3
• TR/Spy.463227
• 2D Drawing, Date, Debugger, File, FileSystem, Font, Gadget, Math, Misc, Network, Requester, Sort, String, Window

Na, dann viel Spaß beim Sammeln der Daten! Nach geraumer Zeit, sobald genügend davon zusammengetragen sein sollten, kann man an die Auswertung gehen und feststellen, welche Bibliotheken oder welches Betriebssystem oder welche PB-Versionen besonders anfällig sind. Aber wenn sich niemand drum schert und nur denkt "laß mal die anderen machen, ich bin ja nicht der Einzige", verläuft diese Umfrage im Sand und es werden immer nur weitere Themen eröffnet mit "mein Programm wird von Avira als Wurm angemeckert". Also ran!

Gruß - WPö