Atlas Informatik

Software-Zertifikat


Die Atlas Informatik unterschreibt alle ihre produzierte Software (*.exe) mit einem Digitalen Zertifikat

Windows zeigt bei jeder Installation eines Programms eine Warnung an. Nachdem wir ein neues Update unserer Anwendungen veröffentlicht haben, hat Windows 10 die Angewohnheit zu sagen "Dieses Programm wird nicht häufig heruntergeladen und könnte Ihr Gerät schädigen". Dies bedeutet lediglich "Wir als Microsoft haben bisher keine Rückmeldung, ob es sicher ist". Diese Warnung wird nicht mehr erscheinen, nachdem mehrere Leute es installiert haben.

Derzeit haben wir immer noch ständig Falsch-Positiv-Alarme von Microsoft Defender, obwohl wir diese schon seit längerem an Microsoft zur Analyse eingesendet haben. Des weiteren wurden auch einige Produkte anderer Unternehmen regelmäßig als falsch positiv gemeldet, beispielsweise der Browser Tor [see hier], und sogar einige von Microsoft selbst [siehe hier].

Neu in 2024: Wir müssen Sie davor warnen, das "Microsoft Malware Removal Tool" zu verwenden, da es die gleichen False Positives aufweist und, was noch schlimmer ist, plötzlich damit begann, Atlas Software zu entfernen, ohne a) dem Benutzer eine Wahl zu lassen oder b) eine Möglichkeit zu bieten, die Entfernung rückgängig zu machen (kein Quarantäne-Ordner). Wir denken, dass keine Software so aufgebaut sein sollte und halten es sogar für gefährlich. Wenn Sie das Installationsprogramm einer Software nicht mehr haben und diese aufgrund dieser falschen Annahmen entfernt wurde, können Sie sie möglicherweise nie wieder neu installieren. Ganz zu schweigen von der Zeit, die wir durch die Neuinstallation unserer ehrlichen Software auf unseren Rechnern verloren haben. Es gibt auch andere Leute, die davon geschädigt wurden.

Wenn man sichergehen will, dass die Datei nicht von einem Virus angegriffen wurde, kann man den Fingerabdruck der Datei anschauen. Dazu klickt man mit der rechten Maustaste auf das Exe, wählt Eigenschaften, schaltet auf den Reiter Digitale Signaturen, markiert Andres Rohr, drückt auf den Details Knopf und schaut, ob da ein Zertifikat von Andres Rohr zu finden ist. Wenn ja, auf den Knopf Zertifikat anzeigen drücken. Das sollte dann etwa so aussehen:

Dann auf den Reiter Details switchen, in der Liste nach unten rollen und den Fingerabdruck (engl. Fingerprint) vergleichen. Einer von diesen sollte dastehen, abhängig vom Produktionsjahr:

  • Ab 6. Mai 2024: 2094b4e832d6379c7076a3b3c90eab1c536d3c4b
  • ab Jahr 2021: bc 9f 5b 78 17 98 bb a0 ec b2 34 d8 fe 4c 01 48 45 5a b5 bb
  • ab Jahr 2018: ‎c9 5b 73 1e 9c 60 e4 06 b3 83 59 f9 b3 d7 12 a2 ab 62 98 68
  • vor dem Jahr 2018: 8b 02 af 1f ae 60 af a2 51 a1 6a eb c7 28 a7 30 89 b9 dd ae

Falls einer von diesen übereinstimmt kann man sich absolut sicher sein, dass das Exe in unverändertem Originalzustand ist. Das liegt daran, dass Digitale Zertifikate nur durch eine sehr aufwändige Prozedur mit einsenden der Personalunterlagen (Bild, Pass, Wohnsitznachweis, Telefonnummernachweis) ausgestellt werden. Anders gesagt: Der Hersteller einer digital zertifizierten Software ist 100% bekannt, und kann im Falle einer kriminellen Handlung zur Verantwortung gezogen werden.

Eine zweite Möglichkeit gibt es, das Exe mit dem Online-Virenscanner VirusTotal zu scannen. Dieser delegiert das Scannen an ca. 70 unterschiedliche Virenscanner-Produkte. Falls es dort doch noch ein paar wenige rote Meldungen gibt kann man weiter unten das Kapitel "Fehlalarme" lesen. Wenn man sowohl ein Digitales Zertifikat vorfindet und nur ein paar solcher Meldungen kommen, kann man sich 100% sicher sein, dass es virenfrei ist.

Nachdem Sie Ihre Prüfungen durchgeführt haben, können Sie mit der rechten Maustaste auf den Download klicken und "Trotzdem ausführen" wählen. Es erscheint eine Nachrichtenbox mit dem Titel "Windows schützte Ihren PC". Klicken Sie auf den Link "Mehr Informationen" und drücken Sie die Schaltfläche "Trotzdem ausführen". Sollte das installierte Programm danach nicht erscheinen, lesen Sie bitte unten im Kapitel "Falls blockiert..".

7-Zip-Archive

Es gib Antiviren-Software oder Server-Einstellungen, die das Herunterladen und/oder die Installation von Exe-Dateien komplett verhindern. Für diesen Fall gibt es zu jedem Exe auch stets noch ein 7-Zip-Archiv (gleicher Name mit Endung .7z) mit dem Exe im Innern. Um das auszupacken zu können muss man zuerst das Gratisprogramm 7-Zip installieren. Dieses ist eine quelloffene Community-Lösung und daher sicher. Da es nebenbei auch noch zip and rar verarbeiten kann, ist es aus unserer Sicht das beste Kompressionstool derzeit.

Fehlalarme in Antivirenprogrammen

Wenn ein Atlas-Programm noch neu ist, kann es ev. von ein paar Antiviren-Programmen als infiziert gemeldet werden. Man sollte sich immer bewusst sein, dass die Virenscanner mit Heuristiken arbeiten. Da dies eine Form von Abschätzen ist, kann es zu Fehlalarmen kommen. Zur Zeit haben wir gerade vereinzelte Falsch-Positiv-Fälle, zB. einer bei Microsoft Defender, wenn es unser Produkt Mighty Desktop scannt (mehr darüber hier). Nach einiger Zeit werden diese Fehlalarme in der Regel durch die betroffenen Virenscanner-Firmen beseitigt und alle melden unsere Produkte als virenfrei.

Sollte man eine Virenwarnung bekommen von einem auf dem lokalen Computer installierten Antivirenprogramm, hilft es, dessen Virendefinitionen zu aktualisieren oder sonst eine Update des Programms durchzuführen.

Sollen immer noch Fehlalarme angezeigt werden, muss man wissen: Atlas Informatik-Applikationen sind generell durch sog. Obfuskation nachbearbeitet und geschützt worden. Dies verhindert, dass Dritte die Applikation einfach dekompilieren können. Das verhindert aktiv den Diebstahl durch Kopieren als auch die Manipulation von unseren zeitaufwändig erarbeiteten Programmen. Zusätzlich schützt es auch die installierte Applikation vor Virenbefall und die in der Applikation eingegebenen Daten vor dem Auslesen. Leider benutzen auch Schadprogramme die Obfuskation, um einer Detektion zu entgehen. Einige Antivirenprogramme sind nun etwas allzu bequem und geben nun einfach mal auf Vorschuss einen Alarm aus, wenn sie Obfuskation entdecken. Dies ist natürlich so nicht richtig, denn damit werden auch ehrliche Programme, die obfuskiert sind, schlecht gemacht. Richtig wäre, die Obfuskation rückgängig zu machen und dann einen präzisen Test zu programmieren. Darum ist es wichtig für Sie als Konsumenten, solche Alarme richtig einschätzen zu können.

Bekannte Fehlalarme (False-Positives) bisher sind:

  • Win32/ClipBanker: Bei Mighty Desktop vermutlich wegen den Systemaufrufen, die vom Zwischenablage-Rekorder gemacht werden
  • HEUR/AGEN.Nnnnnn: "HEUR" meint Heuristik, dh. es ist nur eine oberflächliche Abschätzung, vmtl. wegen Obfuskation
  • Packed-FQV!Nnnnnn: erscheint vermutlich, weil Atlas-Software komprimiert ist, ein Bestandteil des Obfuskationsprozesses
  • PWS:MSIL/CryptInjector!MTB: Ebenfalls eine komplizierte Version zu sagen, dass Obfuskation detektiert wurde.
  • Trojan:Win32/Wacatac.B!ml: Nochmals ein falscher Alarm. Die Checks sind wohl viel zu unpräzise programmiert. Hier gibt es eine Diskussion darüber (in Englisch).
  • Trojan.Generic@AI.88 (RDML:OYxDWEVgyjLkz…): Gesehen bei "Rising Free Antivirus", eine chinesische Firma direkt aus Beijing (Peking), wo weder das Unternehmen zu finden ist, und auch nicht mal eine sichere https-Website hat [https://www.rising-global.com]. Seien Sie immer vorsichtig mit kostenlosen Antivirenprogrammen, diese erhalten vollen Zugriff auf Ihr System und Ihre Daten. Unserer Erfahrung nach muss viel Arbeit in die Pflege und tägliche Aktualisierung von Virensignaturen gesteckt werden. Es ist für kein Unternehmen auf diesem Planeten rentabel, ein Antivirenprogramm kostenlos zu produzieren, das diesen Service anbietet, es sei denn, es steckt eine andere Absicht dahinter (;-).
  • Trojan.DBadur.w: Stammend von der Firma "Jangmin", ansässig in Beijing (Peking). Immerhin haben sie https. Wir haben kein Formular gefunden, wo man False-Positives melden könnte. Sehr seltsam für eine Firma, die eine Antiviren-Software verkauft. Man würde erwarten, dass jede solche Firma dieses Formular anbieten würde. Wir haben die Firma per Mail auf den False-Positive aufmerksam gemacht. Sehr guter Service: Sie haben schon nach einem halben Tag auf die Mail zurückgeschrieben, dass sie unser Programm in die Whitelist aufgenommen haben. VirusTotal muss nun zuerst mal noch dieses Update bekommen. Mal schauen, wie lange sie dort brauchen. [Adresse und Tel. von dieser Firma]
  • Trojan.Generic.35915811 von VIPRE. Wir haben VIPRE kontaktiert und sie sagen, dass es daran liegt, dass unsere App sich selbst in Microsoft Defender auf die Whitelist setzt, nicht weil sie bösartigen Code enthält. Wir haben ihnen mitgeteilt, dass wir gezwungen sind, unsere Anwendungen auf die Whitelist zu setzen, weil Microsoft fälschlicherweise vorgibt, dass unsere Software bösartig sei und damit unsere Anwender einschüchtert. VIPRE ist sogar ein Antivirenprodukt, das den Defender selbst ersetzt bzw. deaktiviert, wenn es installiert wird, und müsste daher in den Augen des Defender ebenfalls als trojanisches Pferd eingestuft werden (;-). Warum also ist das Whitelisting unserer App im Antivirenprogramm eines anderen Unternehmens, was False Positives produziert, für VIPRE überhaupt relevant? Wenn VIPRE sowieso Defender ersetzt, warum ist nicht nur ihre eigene Analyse relevant? Die Diskussion endete an diesem Punkt, wobei VIPRE erklärte, nichts verändern zu wollen. Zu etlichen Punkten bekam ich keine Antwort. Ich empfahl, zumindest eine Webseite hinzuzufügen, auf der erklärt wird, dass bloss das Whitelisting der Grund für Trojan.Generic.35915811 ist (was den Namen "Trojaner" aber nicht verdient, wie unten erklärt). Sie können derzeit selbst mal googeln und überprüfen, ob zumindest dies umgesetzt wurde. Beim Schreiben dieses Textes war es jedenfalls noch nicht.
  • Trojan:Win32/Casdet!rfn: Wir sahen dies ab 2024-10-15 für unser Multimedia Xpert Online Installer. Es ist im Grunde ein Checker, der den Atlas-Server nach dem neuesten Multimedia Xpert Setup fragt und es herunterlädt.

Erstaunlich ist insbesondere, dass etliche Antivirenfirmen den Begriff "Trojaner" gar nicht vollständig verstehen. Gemäss der Geschichte von Troja müssen ja zwei Dinge erfüllt sein:

  1. Eine Software muss sich unerkannt in ein System einschleichen (in der Geschichte im Innern eines Pferdes in die Stadt Troja)
  2. Die Software muss im Innern einen Schaden anrichten (die Soldaten öffneten die Tore von Troja und die hereinströmenden Soldaten griffen an).

Microsoft hingegen kennt diese Kriterien genau und listet sie in diesem Text auch auf. Zitat: "Nach der Installation führen Trojaner verschiedene schädliche Aktivitäten durch...". Da in Atlas Software keine Schadsoftware enthalten ist, kann Punkt 2 also gar nie erfüllt sein. Dennoch sehen wir in obiger Liste etliche Behauptungen über Trojaner. Lustigerweise gilt dasselbe wie für alle Religionen: Wenn jede Religion eine andere Version von Göttern behauptet, muss das ganze ein logischer Widerspruch sein. Offenbar merkt keiner der Antiviren-Hersteller, dass es ein Widerspruch ist, wenn sie zu einem unterschiedlichen Ergebnis kommen als all die anderen. Das 1-Mal-1 der Wissenschaft: Eine Theorie, die allen anderen widerspricht muss falsch sein.

Interessant für uns Softwarehersteller ist auch stets, dass die Antivirenlabore sich nicht die Mühe machen, auf ihren Webseiten zu erklären, was mit der Meldung eigentlich gemeint ist. Noch schlimmer, es werden unbegründete Behauptungen verbreitet wie "Diese Software stiehlt Passwörter" oder dergleichen. So wird der Kunde unnötig abgeschreckt, und ehrliche Softwareproduzenten werden als Kriminelle dargestellt. Nicht nett und auch geschäftsschädigend. Wenn die Zeit gekommen ist, werden wir diesen Fall unserem Anwalt übergeben und reich werden (;-). Witzigerweise passiert es aber manchmal auch Microsoft bei ihren eigenen Produkten, siehe hier und hier.

Wenn Sie auf Nummer sicher gehen wollen, können sie das Setup.exe mit dem Online-Virenscanner VirusTotal scannen. Dieser scannt mit ca. 70 verschiedenen Virenscanner-Produkten. Wenn die Altas-Software nicht durch einen Virus infiziert wurde, erscheint nur eine Handvoll von Meldungen, die alle besagen, dass unsere Software obfuskiert und komprimiert ist (und ev. leider auch die angeblichen Trojaner). Leider gibt es kaum Links zu Erklärungen der Kürzel. Schaut man sich dies genauer an, zeigt es auf, dass wohl deren automatisches Reverse-Engineering fehlgeschlagen ist. Und das ist für Atlas Informatik eine gute Nachricht, denn dies heisst, dass auch Hacker keine Chance haben, und es schützt unser intellektuelles Gut davor, analysiert, kopiert oder gecrackt zu werden.

Im Übrigen hat Atlas Software auch selber einen Anti-Modifikations-Test eingebaut. Falls unsere Software auf alle Knöpfe normal reagiert, ist sie im unveränderten Zustand. Für mehr Info lesen Sie bitte das Kapitel Angriffs-Schutz unten.

Für eine noch detailliertere Diskussion über all dies, können wir dieses Video des Autors Britec09 empfehlen.

Falls Download blockiert ist in Downloads-Liste

  1. In der Downloads-Liste beim Eintrag die drei Punkte klicken und "Behalten" auswählen
  2. In der Nachfragebox mit dem Titel "Diese App ist unsicher" auf "Mehr anzeigen" klicken, dann auf "Trotzdem behalten"
  3. Falls es immer noch geblockt wird, weiter wie im Kapitel "Falls blockiert durch das aktuelle Antiviren-Programm" unten

Falls blockiert durch Google Chrome

Google Chrome kann vorgeben, dass unsere Software gefährlich sei oder einen Virus enthalte. Zunächst sollten Sie immer direkt von unserer Website herunterladen und niemals von einem Drittanbieter. Dateien von der Atlas-Website sind virengeprüft und 100% frei von Malware, das können wir garantieren. Was den Alarm von Chrome auslöst, ist, dass unsere Software durch Obfuskation besonders gehärtet ist (siehe obiges Kapitel). Sie können den Download in Chrome auf diese Weise entsperren:

  1. Öffnen Sie Chrome, klicken Sie auf die Schaltfläche mit den drei Punkten und wählen Sie "Einstellungen".
  2. Scrollen Sie nach unten, um den Abschnitt "Datenschutz und Sicherheit" zu finden, und klicken Sie dann auf "Sicherheit".
  3. Unter dem Abschnitt "Sicheres Browsen" sehen Sie drei Optionen zum Schutz des Browsens. Um Downloads freizugeben, können Sie die Option "Standardschutz" wählen.

Falls blockiert durch das aktuelle Antiviren-Programm, zB. Microsoft Defender, Windows Defender usw.

Um unsere Atlas-Software laufen zu lassen müssen Sie manchmal zur sog. White-List (bzw. "Ok-Liste", "Ausschluss-Liste") des Antivirenprogramms hinzugefügt werden. Ansonsten kann es passieren, dass sie einfach nicht aufstartet. Schlechte Antivirenprogramme zeigen dabei nicht einmal eine Information an. Wenn Sie Windows Defender (bzw. Microsoft Defender) als Antivirenprogramm verwenden, können Sie unsere App auf diese Weise als Ausnahme zur Liste hinzufügen:

  1. Vergewissern Sie sich, dass das Setup vollständig abgeschlossen wurde (Klicken Sie die Schaltfläche "Schliessen" am Ende)
  2. Geben Sie "Viren- & Bedrohungsschutz" in der Suchbox links unten ein
  3. Falls da ein blauer Link "Bedrohungsverlauf" oder ähnlich steht, klicken sie diesen (variiert nach Windows-Versionen)
  4. Falls da ein blauer Link "Zulässige Bedrohungen" ist, diesen klicken
  5. Falls da ein blauer Link "Vollständigen Verlauf anzeigen" oder "Schutzverlauf" dasteht, auf diesen klicken
  6. Jetzt sehen wir, dass die App fälschlicherweise als Virus, Trojaner oder unerwünschte App eingestuft wurde.
  7. Klicken Sie am rechten Ende auf den Pfeil nach unten. Ein Dropdown "Aktionen" erscheint.
  8. Klicken Sie auf die Schaltfläche "Aktionen" und wählen Sie "Zulassen" oder "Wiederherstellen". Klicken Sie im folgenden Fenster "Benutzerkontensteuerung" auf "Ja".
  9. Starten Sie nun die Atlas-Applikation (nicht das Setup). Sie sollte nun normal starten. Bitte seien Sie geduldig, beim ersten Mal kann es etwas dauern.

Eine andere Möglichkeit ist, unsere App als Ausschluss zur Ausschluss-Liste hinzuzufügen:

  1. Machen Sie einen Rechtsklick auf die Verknüpfung zu unserer App und öffnen Sie die Eigenschaften
  2. Kopieren Sie den Inhalt der Box "Ziel:" in die Zwischenablage
  3. Geben Sie "Viren- & Bedrohungsschutz" in der Suchbox links unten ein
  4. Klicken Sie auf den blauen Link Einstellungen verwalten
  5. Klicken Sie im Kapitel "Ausschlüsse" auf Ausschlüsse hinzufügen oder entfernen. Bestätigen Sie die Nachfrage.
  6. Klicken Sie auf "+ Ausschluss hinzufügen", dann "Prozess"
  7. Fügen Sie die Zwischenablage in die Box ein und Klicken Sie auf Hinzufügen.

Und noch eine Möglichkeit, die Sie haben, ist die Installation eines Antivirenprogramms eines Drittanbieters. Es gibt einige, die bessere Erkennungsraten haben als Microsoft Defender und ebenfalls kostenlos sind. Wir verwenden Avast und Avira seit Jahren und sind sehr zufrieden mit diesen.

Angriffs-Schutz

Atlas Software enthält einen Selbstprüfungsmechanismus, der Attacken durch Viren und Hacker abwehrt. Falls ein Atlas-Programm eine Modifikation des Codes feststellt, wird sie anfangen, Funktionen nicht mehr auszuführen. Sie deaktiviert sich teilweise. Der Sinn liegt darin, dass ein Hacker sich nie sicher sein kann, ob er die gehackte Software im Netz freigeben kann. Sie kann plötzlich wieder Fehlfunktionen aufweisen, was seinen Ruf schädigen wird. Der Hacker kann auch kaum all diese Prüfstellen finden, denn sie sind weit verbreitet in der gesamten Applikation. Er müsste einen Riesenaufwand betreiben, was es für ihn unattraktiv macht. Im Umkehrschluss: Wenn die Applikation bestens funktioniert, können Sie sich sicher sein, dass der Programmcode 100% unverändert bei Ihnen auf dem Rechner vorliegt und also sicherlich nicht von einem Virus infiziert wurde.

 

Gehe an den Anfang