False Positives (fälschliche Erkennung von sauberen Dateien) scheinen sich in den letzten Monaten im gesamten Malware-Sektor zu häufen. Was noch schlimmer ist: Es kommt immer häufiger vor, dass Dateien von konkurrierenden Programmen erkannt werden. Ich kenne nur die Fälle, in denen unsere Software als Malware erkannt wurde, aber die sind schlimm genug: Vor zwei Jahren fing es an, als Pest Patrol unsere Dateien cd_clint.dll und zipdll.dll erkannt hat. Danach erkannte NetCop unsere Spybots.sbi, Trend Micro PC-Cillin unsere SDHelper.dll, PandaSoft einen Teil unserer Immunisierung (sehr bemüht, das Problem sofort zu beheben), und McAfee AntiSpyware unsere English.sbl.

Der neueste Vorfall ist Lavasoft, dessen AdAware unsere Haupt-Programmdatei, SpybotSD.exe, als zu 180Solutions gehörende Malware erkennt. Unsere Detektive haben mir versichert, dass eine Verwechslung unmöglich sein sollte, da es bezüglich der Dateinamen, - größen usw. fundamentale Unterschiede zu 180Solutions bis zur neuesten Version gibt.

Normalerweise versuchen wir, solche False Positives innerhalb eines Tages zu klären und zu beheben, denn sie schaden den Benutzern und verleihen sowohl dem erkennenden als auch dem betroffenen Produkt einen schlechten Ruf. Für gewöhnlich gibt es auch keine Probleme, schnell mit jemand Verantwortlichem in Kontakt zu treten. Bei Lavasoft war dies allerdings unmöglich - es wurde weder auf unsere Anfragen reagiert, noch auf die eines Anwalts (Update: nicht einmal nach einer Woche).

Wie wir später herausgefunden haben, haben sie das Problem mittlerweile behoben (laut Lavasoft-Forum, mit dem Update SE1R32 10.03.2005, wobei ihre Update-Ankündigungen das nicht bestätigen). Denjenigen, die Spybot-S&D wegen dieser Fehlerkennung von AdAware gelöscht haben, versichern wir noch einmal, dass wir in keiner Verbindung zu 180Solutions stehen, und dass Sie Spybot-S&D neu installieren können.

Viele Benutzer haben uns gefragt, ob wir auch so ausgefeilte Methoden wie AdAware benutzen - CSI (Code-Sequenz Identifikation) nennen sie es. Offensichtlich schaffen es DBAs (Drei-Buchstaben-Akronyme) immer wieder, Benutzer zu beeindrucken. Auch wir könnten uns Dutzende solcher DBAs ausdenken, um Sie zu beeindrucken, aber wir ziehen es vor, uns nicht mit werbeträchtigen Ausdrücken zu rühmen (obwohl wir natürlich jedes Advanced Check Library Update mit ähnlichen Bezeichnungen versehen könnten). Wie auch immer: die besten Erkennungstechniken nützen nichts, wenn die Detektive, die die Datenbanken füttern, sie mit den falschen Sachen füttern.

Was mich zu meinem zweiten Punkt führt: Wir denken, dass all diese falschen Erkennungen von guten Produkten unsere Strategie der 4-Wege-Tests für Updates bestätigen: Jede Erkennungsregel wird zunächst von dem Detektiv, der sie hinzugefügt hat, selber getestest, danach vom internen Test-Team, gefolgt von einem internen Test durch das Team Spybot und zuletzt in der vierten Stufe als öffentliches Beta-Update. Das schlägt sich zwar vielleicht in einer etwas größeren Verzögerungszeit zwischen zwei Updates nieder, aber zumindest verwirren wir so unsere Benutzer nicht, indem wir andere Programme, die sie beschützen sollen, als Malware erkennen - der Kunde sollte immer noch König sein, und ihm sollte Qualität geboten werden.