Besonders im anwaltlichen Umfeld ist es selbstverständlich, auf einen Virenscanner zu achten – nicht zu letzt werden personenbezogene und sensitive Daten verarbeitet. Spannende Erlebnisse mit diverser Anwaltssoftware ist allerdings ebenfalls vorprogrammiert.

So geschehen mit dem Anwaltsprodukt “RA-Micro”. Die einschlägigen Hinweisseiten hierzu (hier und hier) sind allerdings recht allgemein gehalten. Kernelement der Aussage ist: “Nimm alle Verzeichnisse, die von RA-Micro genutzt werden, auf die Ausnahmeliste Deines Virenscanners” (ob das so im Allgemeinen wirklich eine adäquate Lösung im Sinne der Sicherheit ist, läßt sich auch bestreiten). Insbesondere betrifft dies die folgenden Verzeichnisse (die Liste ist nicht vollständig):

• C:\users\%username%\AppData\Local\xenocode
• C:\users\%username%\AppData\Local\Temp\spoon
• C:\users\%username%\AppData\Local\Temp\dms

Besonders das erste Verzeichnis ist interessant, da in dies ein temporäres Verzeichnis für die Applikationsvirtualisierung der Turbo Engine ist. Das oben genannte Verzeichnis kann allerdings noch weitere Unterordner beinhalten, worin dann erst die eigentlichen ausführbaren Programme gespeichert werden.

RA-Micro verwendet Applikationsvirtualisierung. Die von Turbo Engine genutzte Technik ähnelt in Ihrer Verhaltensweise allerdings Trojanern (das sind Programme, die z. B. von Hackern und Viren genutzt werden, um “von innen” die Türen für eine fremde Software zu öffnen). Ein guter Virenscanner kennt diese Art der Technik und sollte entsprechend darauf reagieren.

AVG ist diese Technik bekannt. Auch bietet sie eine Ausnahmeliste in den Einstellungen des Virenscanners an. Allerdings hat die Sache zwei Haken:

1. Die Ausnahme gilt nur genau für das angegbene Verzeichnis – und nicht für dessen Unterverzeichnisse.
2. Die oben beschriebene Technik zur Erkennung von Trojanern (und ähnlicher Software), die bei AVG “CyberCapture” heißt, ist von der Ausnahmeliste wiederum ausgenommen.

Die Gegenmaßnahme, die AVG nutzt, ist leider sehr störend für RA-Micro: AVG verzögert die Ausführung einer von der Turbo Engine erzeugten Datei um bis zu 15 Sekunden und scannt parallel die Datei. Das wird auch in einem Message-Popup unten rechts angezeigt. Es ist üblich, daß mehrere solche Popups nacheinander auftauchen.

Leider erwartet allerdings RA-Micro eine Rückmeldung von der Turbo-Engine innerhalb von nur weniger Sekunden. Kommt eine positive Rückmeldung nicht rechtzeitig zustande, wird eine Fehlermeldung angezeigt. Teilweise läßt sich dann RA-Micro auch nicht richtig bedienen. Welche Funktionen das sind, hängt immer davon ab, welche Turbo-Engine-basierten Dateien blockiert wurde. Die Fehlermeldungen treten typischerweise bereits beim Starten von RA-Micro auf.

Die Sofortmaßnahme, deren Sicherheitsaspekte allerdings nicht unkritisch sind, ist, die CyberCapture-Funktionalität auf der Arbeitsstation zu deaktivieren. Dies macht man wie folgt:

1. Mittels Doppelklick auf das AVG-Symbol in der Tasklist (rechts unten neben der Uhr) das Menü anzeigen.
2. Menü
3. Einstellungen
4. Allgemein
5. Basisschutz
6. Erkennungen
7. Den Haken vor “CyberCapture-Technologie aktivieren” herausnehmen.
8. Schließen

Anschließend startet RA-Micro ohne Probleme. Es kommen auch keine Warnhinweise des Virenscanners mehr.