Jap, ich lese hier mit
Ich kann leider nicht mit Sicherheit sagen, worauf die Heuristiken der Antivirus-Firmen triggern, aber ich habe mittlerweile eine Theorie.
Zu der gehört zunächst mal das Wissen darum, wie die Signaturen der Antivirus-Engines überhaupt entstehen. Wenige Leute denken darüber wirklich mal nach, wie die ganzen Firmen knapp eine Million Signaturen mit oft mehreren tausend Neueinträgen pro Tag (und das 24/7 an 365 Tagen im Jahr) wirtschaftlich managen können. Das läuft heutzutage massiv über Automatisierung mittels Heuristiken - der Virenanalyst, der tagtäglich neue Viren auf den "Seziertisch" bekommt und daraus händisch Signaturen erstellt, ist zumindest für die tägliche Standard-Fließbandarbeit längst Geschichte, weil ein Heer solcher Leute in der Größe, wie es heutzutage nötig wäre, um wirklich jede neue Variation irgendeines Schadprogramms ständig aufs Neue zu untersuchen, unbezahlbar ist. Bei der Erstellung des größten Teils der Signaturen hat daher nie ein Mensch Hand angelegt - die hochbezahlten Software-Analysten beschäftigen sich stattdessen damit, die Heuristik-Algorithmen der Maschinerie zu pflegen und zu verbessern, die die Signaturen für neue Schädlinge erzeugt, und damit, "die Späne wegzuputzen". Denn "wo gehobelt wird, fallen Späne", und Späne sind in diesem Fall Fehlalarme bzw. Programme, die von der Heuristik-Maschinerie fälschlicherweise als Malware erkannt und in die Signaturdatenbanken eingefügt werden.
Das ist MobMap (oder besser gesagt: dem Updater! Das Addon _kann_ rein technisch nach heutigem Kenntnisstand gar keine Trojaner enthalten) jetzt leider mehrfach passiert. Die ersten beiden Male wurden die entsprechenden Signaturen nach manueller Prüfung wieder aus den Signaturdatenbanken entfernt, und auch über dieses dritte Mal sind die betroffenen Hersteller schon informiert und ich rechne damit, dass die Warnungen innerhalb der nächsten Tage aus den Datenbanken fliegen. Aber optimal ist das natürlich alles nicht - so wie es scheint, landet jedes neue Build, das ich rausbringe, innerhalb kürzester Zeit wieder in diesen Datenbanken, nur um dann wieder manuell ausgetragen zu werden.
Da mir die AV-Firmen nicht sagen wollen, was an dem Programm die Aufnahme in die Signaturdatenbanken auslöst, hab ich mich mal selbst auf die Suche gemacht und bin auf eine Programmkomponente gestoßen, die ich zum Upload der gesammelten Daten auf die Website nutze, bzw. genauer gesagt ein MIME-Encoder zum Encoding dieser Daten für den Upload. Dieser Encoder hat die Heuristik von zumindest einem heuristisch arbeitenden Malware-Scanner (Prevx) getriggert, der daraufhin vermutete, dass MobMap "MIME-Email versendet" - was zwar Schwachsinn ist, da das Programm gar keine E-Mails versendet, sondern Daten auf eine Website hochlädt, aber allein das Vorhandensein dieses MIME-Encoders (den man natürlich zum Versenden von Daten per Mail nutzen kann, aber eben auch zum Upload per HTTP) hat die Heuristik annehmen lassen, dass es sich um ein E-Mail-versendendes Programm handle, das zudem auch noch die Fähigkeit besitzt, sich in den Autostart einzutragen (ja klar kann es das; wenn man es auf den automatischen Modus umstellt, startet MobMap bei jedem Systemstart im Hintergrund mit! Logischerweise muss es sich dazu in den Autostart eintragen können...). Und das war der Heuristik dann wohl suspekt genug, MobMap für Malware zu halten.
Ich hab daraufhin die MIME-Encoding-Komponente rausgerissen und selbst einen minimalen MIME-Encoder geschrieben, der grad das kann, was ich brauche, um die Daten auf die Website hochladen zu können. Plötzlich konnte MobMap laut Prevx keine Mails mehr versenden, und der Verdacht auf Malware war Geschichte. Da ich vermute, dass die Heuristiken bei den AV-Firmen ziemlich ähnlich der von Prevx funktionieren, hoffe ich, dass damit auch die ständigen Falschmeldungen Geschichte sind. Die aktuelle Entwicklung scheint jedenfalls dorthin zu deuten - die aktuellste Version des Updaters (1.78) wird von keinem AV-Programm mehr für Malware gehalten, während die letzte problematische Version schon ein paar Stunden nach Release bei Kaspersky in der Datenbank landete.
Das Ganze hab ich auch nochmals ausführlicher (allerdings auf Englisch) im MobMap-Devblog erklärt und kommentiert:
http://www.mobmap.de/devblog/archives/58-I...-theory....html
