Rant: tr/wlhack.a - falscher Alarm bei Antivir/Avira…

Innerhalb weniger Minuten haben sich bei mir heute früh zwei Bekannte gemeldet - ihr Virenscanner (von Avira) hätte ein trojanisches Pferd namens "TR/WLHack.a" in winlogon.exe gefunden. Scheinbar eine Epidemie, denn die Homepage von Avira reagiert nur sehr zäh; nachdem ich endlich nach Vireninfos suchen kann, stelle ich fest, daß kein Eintrag hierzu existiert. Falscher Alarm? Auf der Startseite befindet sich kein Hinweis, die normale Googlesuche findet nix, und Technorati bringt nur den Eintrag eines weiteren Betroffenen zum Vorschein...
Eine Bekannte hat inzwischen festgestellt, daß sie sich bei ihrem Homebanking nicht mehr anmelden kann - und sofort eine Sperrung des Zugangs bei ihrer Bank veranlaßt. In Sorge, was sonst noch passiert sein könnte, ruft sie schließlich bei der Hotline an: 0900er-Nummer, knapp 2€/Minute - auf der Webseite befinden sich noch immer keine Informationen. Mehrere vergebliche Versuche (die Hotline wurde wohl auch überrannt) und mehr als 10€ ärmer erfährt sie, daß es sich um einen Fehler in der aktuellen Virendefinitionsdatei handelte. Auf ihren Kommentar hin, daß die Informationen auf der Webseite fehlten und sie diese verspätete Information nun Streß mit der Bank und dicke Telefongebühren kostet, bekommt sie als Antwort: "Das ist ihr Verhalten; das ist nicht unser Problem" Sie hätte ja nicht anrufen brauchen.
Ihr "Hilferuf" kam um 8:50h. Die fehlerhaften Signaturdaten wurden da schon ausgeliefert (schwer zu sagen, wie lange schon). Jetzt, im Moment, um 10:55h erscheint bei Avira die Meldung über den Fehlalarm.
Das pampige Verhalten der (teuren!) Hotline regt üble Gedanken an: Daß bei solchen Signaturen Fehlalarme vorkommen können, ist klar; insbesondere exotische Programme sind davor nicht gefeit. Aber "winlogon.exe" ist bei jedem System vorhanden - wieso ist das bei den Tests nicht aufgefallen? Oder (vorsicht, böse Mutmaßung) hat man den Fehler absichtlich unabsichtlich übersehen, um über die 0900-Nummer etwas Geld in die Kasse zu spülen?
Wie auch immer: Ich werde in Zukunft die Kosten für den Support deutlich höher gewichten, wenn es um die Anschaffung irgendwelcher Software geht. Die Antivir-Hotline ist Mo-Fr von 10-19 Uhr für 1,99 €/Min zu erreichen; ein Beispiel zum Vergleich: Den technischen Support von GData erreicht man 24/7 über eine 0180-Nummer - für 4 Cent pro Minute...

Update: Nur zur Klarstellung - das trojanische Pferd mit der Bezeichnung TR/WLHack.a gibt es wirklich, und es infiziert auch tatsächlich winlogon.exe.

comments powered by Disqus