Durch ein Update des Virenscanners Rising landet eine infizierte Datei auf dem System, die sich dann daran macht, den Sality-Virus weiter zu verbreiten.

Wer den kostenlosen Virenscanner Rising nutzt, sollte diesen sofort abschalten und wenn möglich deinstallieren. Denn durch die automatische Update-Funktion landet unter Umständen der Sality-Virus auf dem System und infiziert dieses.

Als erstes registriert hat die seltsamen Aktivitäten das Antiviren-Testlabor AV-Test, deren Test-Systeme nach einem Start von Rising infiziert waren. Unter anderem war der Scanner conscan.exe mit dem Saility-Virus infiziert. Eine genauere Analyse förderte zu Tage, dass die Infektion über ein Signatur-Update erfolgte. Ein solches Virenscanner-Update bringt nämlich nicht nur neue Viren-Signaturen sondern oft auch neuen Code, etwa in Form von Bibliotheken und ausführbaren Dateien mit. Bei Rising kam der Virus also Huckepack mit der Update-Funktion. Mittlerweile hat der chinesische Hersteller das Problem bestätigt und rät zumindest temporär von der Nutzung des Scanners ab.

Wer überwacht die Wächter?

„Dass ausgerechnet Antiviren-Software Viren einschleppt, ist ein sehr bedenklicher Vorgang“, erklärte Andreas Marx gegenüber heise Security. Denn Schutz vor solchen Infektionen gibt es derzeit nicht: „Es stellt sich die Frage, ob man nicht auch die AV-Updates vor der Installation einem Virentest unterziehen müsste – aber welche Systemkomponente soll das dann tun?“ Eigentlich hätte die Antiviren-Software Rising den selbst eingeschleppten Virus sogar erkennen können und müssen.

Zum Glück dürften nur wenige deutsche Anwender von dem Problem betroffen sein, da die chinesische Firma vor einiger Zeit den weltweiten Vertrieb eingestellt hat. Allerdings gibt es noch eine englisch-sprachige, kostenlose Version. Wer sich den Sality-Virus auf diesem Weg eingefangen hat, kommt wohl kaum um eine Neu-Installation seines Systems herum. Denn eine Reinigung etwa mit einem anderen Scanner ist nicht empfehlenswert, weil auch System-Dateien von der Infektion betroffen sind und das System danach unter Umständen nicht mehr stabil läuft.

Quelle: //heise.de/-3237654