Virenscanner

Oh, mann! Wie ich Virenscanner hasse!

In den Zeiten, als ich noch Windows XP benutzte, war ich mir ziemlich sicher, dass ich keinen Virenscanner brauchte. Ich hatte die Rechtevergabe und das sichere Arbeiten mit dem Gerät ziemlich im Griff. Ab und zu habe ich mal mit einem frischen DVD-Image mit Virenscanner (z.B. von c’t [heise] o.ä.) gescannt und nur das gemeldet bekommen, was ich eh schon wusste: ein paar meiner e-Mails sind mit allem möglichen Zeugs verseucht; weil ich mir die aber im Seamonkey als Text anguckte bzw. sie meist ungelesen im Spam-Ordner verschwanden, konnten die mir „nichts tun“.

Mittlerweile läuft hier Windows 10 (das ich eigentlich ganz Ok finde, ich kenne mich aber noch nicht genügend aus …) und ich habe Windows Defender am laufen. Meiner Meinung nach sind die einzigen vernünftigen Virenscanner diejenigen, die vernünftig mit dem OS „verzahnt“ sind. Jeder extern angebotene Scanner macht immer auch wieder neue Lücken auf, die er selbst nicht kennt.

Dieser „Windows Defender“ machte mich die Tage darauf aufmerksam, dass es sinnvoll sei, mal einen Komplett-Scan des Rechners durchzuführen, weil das noch nie gemacht wurde. Fand ich im ersten Moment auch plausibel, ich hatte aber ein paar Sachen nicht richtig auf dem Schirm:

  • Windows Defender war angewiesen, bei Komplett-Scans auch Archive (zip, gz, tar, …) zu durchsuchen. Und zwar rekursiv, also in Archiven enthaltene Archive bitteschön auch durchsuchen.
  • Ich habe (irgendwo in den Tiefen des Dateisystems, wo Daten auch von früheren Systemen noch gelagert werden) so eine Art „Kuriositätenkabinett“, in dem sich unter neben ein paar alten DOS-Viren [DOS wie Disk Operating System, aka MS-DOS, nicht Denial Of Service …] unter Anderem die bekannte Archivbombe 42.zip befindet.

Ich habe also die aktuellen Signaturen runtergeladen und einen kompletten Scan angeordnet.

Irgendwann ist der Defender dann auch auf „42.zip“ gestoßen und hat angefangen, den rekursiv zu scannen. Zum Glück ist Defender nicht komplett doof und entpackt auch rekursiv immer nur eine einzelne Komponente, so dass der Ressourcen-Verbrauch des Rechners sich nicht auf die Arbeit damit auswirkte. Allerdings hat irgendwann Defender gewarnt, er hätte da was „problematisches“ (etwas in der Art „Win32/Troyan/zip-Bomb“) gefunden, Genaueres könne ich mir im Anschluss an den Scan in der Zusammenfassung anschauen. Eine Zeit lang wollte ich dem grünen Balken beim Wachsen zusehen und bemerkte, dass der nicht mehr wächst. Ich klicke auf „Details anzeigen“ und bekomme eine Liste:

  • Laufwerk\Pfad ganz weit unten\book1
  • Laufwerk\Pfad ganz weit unten\book2
  • Laufwerk\Pfad ganz weit unten\book3
  • usw.
  • Laufwerk\Pfad ganz weit unten\chapter1
  • usw. (Defender war also schon bei der zweiten Rekursion)

Wenn Defender das im geschicktest denkbaren Modus entpackt und scannt, dann läuft meine Platte oder mein RAM nicht unbedingt über, die immer wieder referenzierte Einzeldatei in 42.zip ist ja „nur“ 4GB groß. Aber für den Scan von 4500 TB (4,5 PB) hätte mein Rechner trotzdem ein wenig länger gebraucht, als wahrscheinlich das Universum schon exisitert.

Ich klicke auf „Abbrechen“ und werde von Defender gefragt, was ich mit dem „verdächtigen Element“ machen will. Ich sage „erlauben“, was ein Fehler war.

Die Fortschrittsanzeige geht zurück auf Null, wächst anfangs zusehend, aber auch zusehend langsamer, bis es bei ca. 70% wieder anfängt zu „knirschen“. Defender will anscheinend ernsthaft durch das ganze 42.zip gehen und alles „erlauben“, wie auch immer es sich das dann merkt.

Ich habe den Prozess dann gekillt, neu gebootet und dann „wegmachen!“ ausgewählt. Das verhielt sich genauso (konvergiert gegen 70%), hat aber dann irgendwann Erfolg gemeldet. Jetzt ist mein 42.zip zwar weg, aber es ist ja nicht so, als wäre das ein großer Download (42.374 bytes zipped).

, , , ,

  1. Hinterlasse einen Kommentar

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: