Avira erklärt Ausfall der Verhaltenserkennung

In einer Stellungnahme an seine Kunden erklärte Avira-Geschäftsführer Tjark Auerbach, wie es dazu kam, dass zahlreiche Avira-Installationen nach einem Update plötzlich wesentliche Systemprozesse als vermeintliche Malware blockierten. Die Schuld habe daran gelegen, dass die Verhaltenserkennung "ProActiv" nach einer Aktualisierung über eine inkompatible Konfigurationsdatei gestolpert sei.

Die Problemursache sei mittlerweile gefunden; eine korrigierte Version des Moduls befindet sich derzeit im Betatest. Der Test des Moduls soll bis Mitte der kommenden Woche dauern. Danach plant Avira, es als Update auszuliefern und die Verhaltenserkennung zu reaktivieren.

Am 14. Mai begann Avira mit der automatischen Auslieferung eines größeren Software-Updates für die kommerziellen Produkte Avira Antivirus Premium 2012, Avira Internet Security 2012 sowie Avira Professional Security. Dieses "Service Pack 0" ersetzte auch die ProActiv-Verhaltenserkennung durch eine neue Version des Moduls.

Als die neue Verhaltenserkennung auf für die Vorversion bestimmte Konfigurationsdateien stieß, interpretierte sie deren Inhalt falsch und begann daraufhin, die Ausführung diverser Systemdateien zu unterbinden. Einige der betroffenen Rechner ließen sich daraufhin gar nicht mehr nutzen, andere starteten nur noch im abgesicherten Modus. Anwender konnten sich nur dadurch behelfen, indem sie ProActiv manuell deaktivierten.

Avira versuchte zunächst, das Problem mit der Auslieferung einer leeren Konfigurationsdatei in den Griff zu bekommen. Als auch dieser Schritt erfolglos blieb, deaktivierte Avira die Verhaltenserkennung im nächsten Update komplett.

In seiner Stellungnahme bedauerte Avira-Mitgründer Auerbach die Umstände: "Umso schmerzlicher und mit voller Wucht hat mich das Update vergangene Woche getroffen." Das Schreiben versucht auch zu erklären, warum Avira das Update nicht komplett zurückzog: Als die Fehlerursache gefunden wurde, hatten schon zu viele Systeme das Service Pack eingepflegt. Für ein Downgrade wäre zudem ein Neustart der betroffenen Rechner erforderlich gewesen, "was wir zumindest im Firmenkunden-Bereich vermeiden wollten".

Eine Verhaltenserkennung ist die letzte Verteidigungslinie gegen Virenbefall. Schädlinge, die ein Scanner weder anhand ihrer Signatur noch an weiter gefassten Merkmalen (Heuristik) erkennen konnte, lassen sich nur noch anhand verdächtiger Verhaltensmuster identifizieren, bevor sie ihre Schadfunktion aktivieren.

Die von Avira angebotene Verhaltenerkennung funktioniert nur auf 32-Bit-Systemen. Nutzer einer 64-Bit-Version von Windows 7 oder Vista waren deshalb nicht vom ProActiv-GAU betroffen – hier ist das Modul in jedem Fall inaktiv. Die Gratis-Version Avira Free Antivirus bietet überhaupt keine Verhaltenserkennung. (ghi)