Eine Ursache des Problems ist, dass der erste Scan auf einer Schnellprüfung beruht, bei der Symantecs Tool zunächst heuristisch, also ohne Virensignaturen, Dateien untersucht und anschließend den "Norton Community"-Reputationsserver nach einer Einschätzung zu einer Datei befragt. Gibt es nur wenige Bewertungen dazu und lieferte schon die Heuristik eine schlechte Einstufung, gilt ein Programm als verdächtig oder bösartig.

Um den Widerspruch "Bösartig" und "Keine bekannte Bedrohung" erkennen zu können, muss der Anwender die Datei erneut Scannen. Vergrößern Zwar lässt sich mit einem weiteren Scan die Datei auf Symantecs Servern genauer untersuchen, wobei sich das "Missverständnis" meist aufklärt, allerdings kommen die meisten Anwender gar nicht so weit. Stattdessen beschweren sie sich unter Umständen beim Hersteller des bemängelten Programms, was sie denn da untergeschoben bekommen hätten.

Vergrößern Der eco-Verband bestätigte gegenüber heise Security die Fehlalarme: "Das Problem mit False Positives, die der DE-Cleaner meldet, ist uns bekannt und wir arbeiten intensiv an einer Lösung. Symantec bietet bis dahin Herstellern, deren Produkte oder Dateien vom DE-Cleaner falsch eingestuft werden, die Möglichkeit, das Produkt auf eine Whitelist setzen zu lassen. Dazu sollte für jede ausführbare Datei das Formular unter https://submit.symantec.com/false_positive/insight/ ausgefüllt werden", so Katrin Mallene, Pressesprecherin des Verbands der deutschen Internetwirtschaft eco. 

Quelle:  heise.de