Client-Datei "eso.exe" als Malware / Virus erkannt (Avira Antivirus, Avast, 360 Total Security)

Tobi333U · June 2015

Bereits seit Launch des Spiels erhalte ich gelegentlich die Meldung "eso.exe" sei Malware. Daraufhin habe ich mehrmals die Antiviren-Software gewechselt, bei allen AV-Programmen wird "eso.exe" mit dem Typ "HEUR/QVM20.1.Malware.Gen" bezeichnet. Ich weiß dass das Problem schon zum Launch des Spiels bekannt war, allerdings habe ich seitdem nicht mehr viel davon gehört. Die Datei als false positive zu melden geht leider auch nicht da sie für einen Upload zu groß ist

Wird an dem Problem noch gearbeitet?

KhajitFurTrader · June 2015

Der Bezeichnung zufolge ist das kein konkreter Fund einer Malware anhand einer verifizierten Signatur. "HEUR" deutet darauf hin, dass ein heuristischer Scanner in den Maschinencode der ausführbaren Datei geschaut hat und dabei eine Abfolge von Instruktionen fand, die er aufgrund seines Regelwerks als potentiell gefährlich einstuft. Das kann teilweise schon durch den Aufbau einer TCP-Verbindung zu einem Server getriggert werden, was für MMOs nunmal die normalste Sache der Welt ist. Also keine konkrete Gefahr, sondern nur ein Hinweis auf eine eventuell bestehende Gefährdung.

Wie muss man das einordnen? Heuristische Scanner sind potentielles Schlangenöl. Sie werden als zusätzliche Sicherheit verkauft, meist mit der Aussage "unser Produkt findet sogar Viren, die noch gar nicht entdeckt wurden", was Marketing-Quatsch ist. Man definiert negative Verhaltensregeln, die für Aussenstehende nicht nachvollziehbar sind, und gaukelt so dem Kunden bei jedem Fund vor, ihn geschützt zu haben, obwohl in keinster Weise nachvollziehbar ist, ob es sich dabei um ein echtes oder falsches Positiv handelt. Meistens ist es falsch.

Wenn man sicher gehen will, nimmt man verschiedene Scanner von unterschiedlichen Herstellern, wie du es anscheinend gemacht hast. Aber Achtung: Scanning-Engines sind frei auf dem Markt erhältliche 3rd party Software, d.h. es gibt mittlerweile viele unterschiedliche Produkte (gerade die kostenlosen) von verschiedenen Herstellern, die aber alle dieselbe Engine, und damit auch dieselben Signaturen und heuristischen Regeln verwenden. Wirkliche Klarheit würde hier der Einsatz von Produkten von Firmen wie Kaspersky, Symantec oder ESET verschaffen, aber die kosten Geld. Daher mein Tipp: Am 13.6. erscheint das Computermagazin c't in der Ausgabe 14/15 mit der diesjährigen desinfec't DVD. Das ist ein Linux-live-System mit mehreren unterschiedlichen Scan-Engines und 12-Monats-Lizenzen für Signatur-Updates. Wenn man damit keine Klarheit erlangt, dann weiß ich's nicht.

Es ist übrigens immer die Aufgabe des Virenscanner-Herstellers, dafür zu sorgen, dass bekannte falsche Positiv-Meldungen verschwinden. Der Hersteller des gemeldeten Programms macht da nichts dran, weil ja meistens nicht einmal die Kriterien offenliegen, die zu der Meldung geführt haben.

Sen_ps · June 2015

Super Antwort! Als kleine Ergänzung: Wenn du unsicher bist, ob die Datei infiziert wurde, kannst du sie bei https://www.virustotal.com/ durch verschiedene Virenscanner testen lassen. Das gibt, sagen wir, zumindest Hinweise wie es aussieht.

Tobi333U · June 2015

@KhajitFurTrader Vielen Dank für die überaus ausführliche Antwort! Das hat mir unheimlich viel geholfen, das Prinzip der Erkennung von potenziell schädlicher Dateien zu verstehen, und auch AV-Software an sich besser verstehen zu können

Ich werde mir das Computermagazin c't auf jeden Fall mal genauer ansehen, danke für den Tipp!
@Sen_ps Auch vielen Dank für diesen Tipp, das hat nochmals bestätigt, dass die Virenmeldung nicht ernst zu nehmen ist