Virenscanner sollen den PC vor dem Befall mit Schadsoftware oder dem Besuch schädlicher Webseiten schützen. So weit, so gut. Was aber, wenn diese Virenscanner außer Rand und Band geraten und prophylaktisch alles blockieren oder melden, was sie noch nicht kennen? Dann werden sie zu einer Belästigung für den Nutzer und schaden eher, als dass sie nützen, weil sie das Vertrauen schwächen und es unmöglich machen, die "Bösen" von den "Guten" zu unterscheiden. Drei Virenscanner, die sich seit einigen Monaten in zunehmendem Maße auf diese sehr unangenehme Weise hervortun und dem Konzept daher mehr schaden als nutzen, sind der in Windows integrierte Windows Defender und vor allem auch VBA32 und Malwarebytes. So meldet VBA32 mittlerweile bei jeder mit Microsoft Visual Studio erstellten Software einen Virus oder Malware und ist daher vollkommen unbrauchbar geworden. Auch der Microsoft Defender meldet bei vielen nicht von Microsoft signierten Programmen häufig als einziger von über 60 Virenscannern fälschlicherweise das Virus "Win32/Wacapew.C!ml" und reagiert diesbezüglich auch leider nicht auf zahlreiche Hinweise von Nutzern. Microsoft sieht das Problem nicht als Fehler an, da man es ja dadurch lösen könne, dass man den Defender deaktiviert (https://developercommunity.visualstudio.com/t/fehlermeldung-bei-starten-von-c-programm/968642#T-N1000015). Dies erinnert an früher typische Problemlösungen von Microsoft nach dem Motto "Sie beheben den Windows-Fehler, indem Sie Windows neu installieren oder auf die Nutzung von Windows verzichten".
Malwarebytes blockiert zudem zeitweise in großem Umfang viele harmlose oder seriöse Anfragen. Manchmal für Stunden, manchmal für Tage. Bis die selben Anfragen dann plötzlich wieder durchgelassen werden. Kürzlich wurden von Malwarebytes z.B. sämtliche vertrauenswürdige Stammzertifizierungsstellen (sogar Digicert.com) blockiert, die für die sichere Kommunikation im Netz unverzichtbar sind und so eine https-Verbindung zu sehr vielen sicheren Webseiten unmöglich gemacht.
Beim Installieren von SpamBlockUp oder auch beim Update schlagen vor allem diese Virenscanner immer wieder falschen Alarm. Es ist mittlerweile kaum noch möglich, ein Software-Update zu veröffentlichen, ohne dass eine große Zahl von Meldungen über falsch positive Alarme dieser beiden Scanner eingeht. Bei Microsoft könnte man ja noch vermuten, dass Entwickler auf diese Weise dazu genötigt werden sollen, sehr kostenintensive Entwickler-Zertifikate zu erwerben. Sollte dies Schule machen, wäre es das Aus für kostenfreie oder preiswerte Software. Denn die hohen, jährlichen Aufwendungen für die Lizenz müssen dann auf die Nutzer umgelegt werden. Bei Freeware oder Shareware ist dies gar nicht möglich. Bei Malwarebytes ist hingegen nicht klar, warum Programme und Webseiten, die nachweislich harmlos sind, häufig als schädlich gemeldet werden. Beides erscheint als Missbrauch des Konzeptes und daher als höchst kontraproduktiv.
Hinzu kommt, dass Microsoft Anträge auf Freischaltung harmloser Seiten oder Software in letzter Zeit einfach ignoriert. Das nährt zusätzlich den Verdacht, dass hier ein Konzept verfolgt wird, das zum Ziel hat, die Konkurrenz privater und ehrenamtlicher Entwickler auszutrocknen.
Was also tun?
Um diesem Problem zu begegnen lautet die erste, allgemeine Empfehlung: Nichts installieren, was man nicht vorher seriös geprüft hat! Es gibt im Internet Online-Virenscanner, bei denen man ein Programm oder ein Installationspaket vor der Benutzung hochladen und mit rund 70 aktuellen, verschiedenen Virenscannern prüfen kann. Diese findet man z.B. auf den Seiten https://virusscan.jotti.org/de oder https://www.virustotal.com. Auf diesen Seiten kann man Programme oder Installationspakete vor der Installation sehr zuverlässig auf Viren prüfen. Bei virustotal.com können auch URLs (also Internet-Adressen) eingegeben werden, um diese auf Schädlichkeit zu überprüfen. Häufig werden dabei zwar von einigen außer Rand und Band geratenen Virenscannern Schädlinge angezeigt, aber wenn es sich hierbei um bedeutungslose Scanner handelt, kann man diese falsch positiven Alarme getrost ignorieren. Entscheidend ist, dass die großen und bekannten Scanner überwiegend ruhig bleiben und keine Gefahr melden. Dazu gehören z.B. Avast, Avira, BitDefender, Kaspersky, McAfee, Symantec und Yandex. Weniger bedeutend, aber durchaus auch aussagekräftig sind Acronis, Ad-Aware, ClamAV, ESET, F-Secure, GData und TrendMicro. Demgegenüber sind Malwarebytes, Microsoft und VBA32 zwar bekannt, haben aber aufgrund ihrer extrem häufigen, falsch positiven Meldungen nur noch sehr wenig Aussagekraft.
Die zweite Maßnahme besteht darin, die fälschlich positiv erkannten Programme oder URLs zur Ausnahmeliste des Virenscanners hinzuzufügen. Dies ist eigentlich keine gute Lösung, da sie die Wirkung des Virenscanners schwächt. Wenn die Virenscanner vom Hersteller aber schlecht gepflegt werden oder der Hersteller mit ihnen gar ein moralisch fragwürdiges Konzept verfolgt, bleibt einem leider nichts anderes übrig.
Welche Programme und URLs sind nun bei SpamBlockUp den Ausnahmen hinzuzufügen? Dies ist zum einen das Hauptprogramm selbst, das Sie in dem von Ihnen erstellten Programmverzeichnis finden (z.B. C:\Programme (x86)\SpamBlockUp\SpamBlockUp.exe) und zum anderen die Komponenten, die zum Update von SpamBlockUp nötig sind. Diese findet man im Verzeichnis %APPDATA%\Volker Ulle\SpamBlockUp. Um in dieses Verzeichnis zu gelangen, gibt man im Windows Datei-Explorer in die Adresszeile den rot markierten Text ein und drückt Enter. In diesem Verzeichnis gibt es zwei Dateien, die für das Update erforderlich sind und daher den Ausnahmen beim Virenscanner hinzugefügt werden sollten. Dies sind SBU_Arc.exe und SBU_Upd.exe. SBU_Arc.exe ist das verschlüsselte Archiv mit den Programmdateien für das Update. Die Verschlüsselung schützt das Archiv vor Manipulation durch Außenstehende. SBU_Upd.exe ist das Programm, welches das Update ausführt. Weiterhin kann es nötig sein, die beiden URLs, von denen die Programme vor dem Update aus dem Internet heruntergeladen werden, zu den Ausnahmen hinzuzufügen. Dies sind https://goo.gl/ZZg1BT und https://goo.gl/ZobLTl.
Außerdem werden von SpamBlockUp bei jedem Programmstart benötigte Daten (z.B. die aktuelle Programmversion, Update-URLs, Formular-URLs u.ä.) von verschiedenen Webservern abgerufen (besonders wichtig ist dabei die Hilfeseite von SpamBlockup unter der Adresse https://spamblockup.2ix.de). Die benötigten Seiten sind unter den nachfolgenden Adressen zu finden. Um die Ausfallsicherheit zu erhöhen, wird jeweils eine davon nach dem Zufallsprinzip zum Abruf genutzt. Wenn Sie sich bezüglich der Unbedenklichkeit dieser Seiten unsicher sind, so haben Sie auf https://www.virustotal.com unter der Registerkarte "URL" die Möglichkeit, eine beliebige URL einzugeben, um diese auf ihre Schädlichkeit hin überprüfen zu lassen.
https://spamblockup2.ulle.info
https://spamblockup.jimdofree.com
https://fritzblock.jimdofree.com
https://volkeru.lima-city.de/sbu_backup.html
https://miscel.lima.zone/sbu_backup.html
https://spamblockup.2ix.de/sbu_backup.html
Im Sinne maximaler Transparenz gebe ich hier jegliche Informationen an, damit Sie selbst überprüfen können, dass es sich um harmlose Programme oder Webseiten und keinesfalls um Viren oder Phishing handelt, wie z.B. Microsoft oder Malwarebytes es häufig behaupten. Fügen Sie daher im Falle des Falles auch die oben genannten Webseiten zu den Ausnahmen hinzu (sofern beim entsprechenden Virenscanner möglich).
Kommentar schreiben