Ich hab gerade auf einer Verschwörungstheorie-Webseite einen interessanten Artikel auf einer anderen Webseite über die in Avira verwendeten Heuristiken entdeckt, genauer auf dieser http://grack.com/blog/2010/03/17/the-sorry-state-of-avira-anti-virus-heuristics/ Webseite. Darin beschriebt ein Entwickler der ein Add-on für Google Chrome entwickelt das sein Javascript Code Avira dazu veranlasst ihn als Virus zu identifizieren. Die Heuristik scheint dabei auf Pattern-recognition zu basieren und sich auf wenige Zeichen JS verkürzen zu lassen. Dies Zeichen werden wohl in dem ein oder anderen Schädlichen Programm verwendet aber eben leider auch in so ziemlich jedem Google Chrome Add-on. Der Author hat daraufhin versucht herauszufinden warum die Chrome Add-ons von Google selbst keinen Viren Alarm auslösen und hat den Quelltest eines Add-ons, wie schon den von seinem, analysiert. Die Lösung für das “Problem” war so simpel wie erschreckend. Enthält ein Add-on das Keyword “google” wird es nicht mehr als Malware erkannt.

Das ist wirklich eine sehr klevere Lösung und ich bin mir sicher das Leute die zumeist Hauptberuflich ihr Geld auf diese weise verdienen bestimmt nie auf die Idee kommen werden mal den Quellcode eines validen Add-ons zu analysieren und ihre Programme daraufhin anzupassen.

Achso, bevor ich es vergesse, ich hasse Javascript, hab ich vielleicht schon das ein oder andere mal erwähnt…

Link:
http://grack.com/blog/2010/03/17/the-sorry-state-of-avira-anti-virus-heuristics/