Panda, PotPlayer, Netzwerkverbindungen und Windows-Firewall

guten Tag Herr Winterer,
ich habe den potplayer von http://codecpack.co/download/PotPlayer.html installiert. (Der Player hatte mein Interesse geweckt, er wurde auf verschiedenen Seiten dick gelobt.)
Panda-Cloud AntiVirus hat mir angezeigt das der Player ("Potplayer Mini.exe") ins Netz geht, er baut 3 Verbindungen zu Websites auf. Mit der Win 7 Firewall hab ich eine Regel gesetzt das der Player keine ausgehende Verbindungen tätigen darf. (Was soll der Player ins Netz, der soll Videos abspielen, sonst nichts!) Doch dann wurde meine Internetverbindung gänzlich blockiert. Die Regel deaktiviert und Internet ist wieder da. (äh??) Ich hab den Player dann wieder deinstalliert mit Revo Uninstaller. Wenn ich nun die Firewallregel aktiviert hatte, obwohl der Player gar nicht mehr im System ist, wurde mir immer noch die Internetverbindung blockiert.
Ich hab vorsichtshalber mein Sytem neu installiert. Ich würde zu gern wissen was da los war, hab jedoch kein Testsystem zum forschen. Hätten sie Interesse dem nachzugehen? Bitte!!
Würde doch wunderbar als Scareware Artikel passen.
mfG M.Baumann

Hallo Herr Baumann,

ich versuche es. Die kurze Version: Ich nehme an, der PotPlayer ist harmlos. Außerdem wirbt PotPlayer ja mit seinen Netzwerkfunktionen, ergo: PotPlayer ist ein Netzwerk-Player. Es ist völlig normal für ihn, Netzwerkverbindungen zu öffnen. Es ist nicht sinnvoll, diese zu limitieren; will man die nicht, wäre es sinnvoller, ihn gar nicht zu installieren.

  • Vorschlag 1:
    Nutzen Sie PotPlayer (aber nur als Download aus einer seriösen Quelle, z.B. heise.de) und genehmigen Sie ihm die Verbindungen, die er haben will / ignorieren Sie die Warnungen. Sonst funktioniert er eben nicht wie vom Hersteller erdacht.
  • Vorschlag 2 (empfohlen):
    Nehmen Sie VLC Player (www.videolan.org). Er bietet ebenfalls viele Funktionen und unterstützt viele Formate. Er fragt allerdings beim Installieren, ob er Informationen aus dem Netzwerk nachladen darf - das kann man abschalten. (Ich weiß allerdings nicht, ob Panda nicht auch bei VLC maulen würde, denn das ist prinzipiell ebenfalls ein netzwerkfähiger Player; aber im normalen Modus öffnet er jedenfalls keine Ports und Windows 7 erfragt daher bei Nutzung als Player keine Firewall-Rechte.)

Das war vielleicht keine 100% befriedigende Antwort, aber vielleicht konnte ich Ihnen dennoch helfen!

Lange Version

Software im Umfeld von Code-Packs hatten schon immer eine gewisse Wahrscheinlichkeit, von Viren infiziert zu sein; diese Wahrscheinlichkeit ist höher auf Webseiten, die nicht sonderlich namhaft sind. Das heisst ausdrücklich nicht, dass Code-Packs per se oder PotPlayer im speziellen infiziert sind - ich rede hier von Wahrscheinlichkeiten.

Ist er infiziert? Der Scan der Datei PotPlayer1.5.35491.EXE ergibt:

  • siehe www.virustotal.com
  • siehe virusscan.jotti.org
  • (je einen Verdacht, der aber generisch ist, von wenig verläßlichen AVs ausgesprochen wird und sich wahrscheinlich einfach nur auf einen UPX-Laufzeitpacker bezieht, der von Malware verwendet wird, aber für sich genommen harmlos ist).

Prinzipiell halte ich den PotPlayer also für harmlos, aber von dieser Quelle würde ich ihn eher nicht installieren. Ich würde die Software bei Wikipedia suchen, so den Hersteller finden (http://tvpot.daum.net/application/PotPlayer.do), den Player dort downloaden wollen - und weil ich kein koreanisch kann, würde ich spätestens jetzt auf PotPlayer verzichten und lieber zu einer weiter verbreiteten Software wie VLC greifen.

Was aber hat mit Pandas Hinweisen auf sich?
Der Sinn des Einsatzes einer Personal Firewall auf einem PC ist, sagen wir mal, umstritten. Hersteller verkaufen sie gern, versteht sich. Manche User schwören auch drauf, etwa weil damit auch Aktivitäten sichtbar werden, die man sonst nicht sieht. Andere raten übertrieben vehement ab, unter anderem weil eine Personal Firewall auf Ihrem PC von jeder Software, die Sie auf dem PC betreiben, abgeschaltet werden kann und daher eigentlich keinen echten Schutz darstellt.

Ich persönlich sehe es so: Der geringe, aber je nach Modell möglicherweise durchaus vorhandene Mehrwert einer Personal Firewall wiegt nicht auf, welche Probleme man damit hat. Mein Standpunkt: Lieber einfach gar keinen Mist installieren, als sich bei den ständigen Hinweisen der Firewall fragen zu müssen, wie ernst diese heute um X Uhr YY zu nehmen sind.

Ihr Fall ist ein gutes Beispiel dafür: PotPlayer baut offensichtlich Verbindungen ins Internet auf. Aha. Irgendeine Firewall meldet das. Aha. Ist das nun schlimm? Diese Frage stellt sich, doch weder Panda noch Microsoft beantworten sie, und PotPlayer offenbar auch nicht (oder nur auf koereanisch). Und auch Sie selbst können die Frage für sich selbst nicht beantworten. Ich aus der Ferne übrigens auch nicht. Was also ist durch die 'Schutzsoftware' gewonnen?

Dabei gibt es ja nur zwei Möglichkeiten:

  • PotPlayer ist harmlos und nützlich. Warum dann Netzwerkverbindungen? Nun, vielleicht gibt er Ihre Systemkonfiguration durch, damit der Hersteller weiß, was der typische User für eine Hardware hat - das hilft ihm, die nächste Version besser zu entwickeln. Vielleicht lädt PotPlayer bloss Codecs nach oder gibt Bescheid, welche Codecs bei den Usern wirklich gebraucht werden, damit von diesen mehr und bessere Versionen integriert werden können. Vielleicht sucht er Updates und sonst nichts. Vielleicht - das machen fast alle Player - versucht er, vorhandene Medieninformationen mit solchen aus dem Netz zu ergänzen, bei Musik etwa Coverbilder nachladen, bei Filmen den Untertitel parallel aus dem netz wiedergeben ... und dergleichen mehr. - Wir wissen es nicht, weil die Software in dieser Hinsicht ungenügend dokumentiert ist.
  • PotPlayer ist (potentiell) schädlich: Vielleicht lädt der Player per Netzwerk einen Trojaner nach. Vielleicht spioniert ihre Bankgeschäfte und Passwörter aus. Vielleicht arbeitet er nebenbei als Botnet-Zombie. Vielleicht bereiten nordkoreanische oder chinesische Hacker den Cyberwar damit vor. - Wir wissen es nicht, solange nichts nachweislich konkret Schlimmes passiert.

Panda (jede gute Virensoftware) kann theoretisch erkennen, wenn ein x-beliebiger Player Malware nachlädt und startet. Aber wenn schon der Player selbst Malware ist, kann er mit hoher Wahrscheinlichkeit verhindern, dass Panda (oder jede andere Virensoftware) aktiv ist oder korrekt arbeitet; uns Usern nützt das also nur in Grenzen etwas (in einigen Fällen nützt es, in anderen nicht). Anders gesagt: Wann immer Sie eine Software installieren, von egal wo und von egal wem, übergeben Sie dieser Software potentielle Kontrolle über Ihr System. Mit oder ohne Virenschutz. Sie müssen einer Software vertrauen. Und das sollten Sie eben nur mit vertrauenswürdiger Software tun.

Auch eine Firewall kann das nicht ändern. Und der normale Anwender, und damit meine ich Sie ebenso wie mich selbst, kann nicht auf die Schnelle herausbekommen, was wirklich hinter Netzwerkzugriffen steckt. Die Firewall selbst müsste wissen, was bei PotPlayer normal ist oder nicht - tut sie aber nicht, weil die Firewall-Anbieter sich aus dieser Verantwortung schleichen und sagen: "Wir liefern die Firewall - wie diese bei 'Programm 39486a' einzustellen ist, ey, das ist Deine Sache, lieber Kunde, schönen Tag noch."  (Wobei ich aus Ihrem Schreiben nicht ganz entnehmen kann, ob das jetzt eine Panda-Firewall ist oder die von Windows 7 oder beide.)

Sprich: Die Sperrfunktion einer Personal Firewall auf Windows ist für "normale Anwender" nur in einem geringen Ausmaß nützlich  - auch wenn irgend einem Konfigurations-Gott seine Personal Firewall in einem ausgesuchten Anwendungszenario durchaus nützlich erscheinen mag. Ein "normaler Anwender" weiss bei einer Software wie PotPlayer *zwangsläufig* nur eingeschränkt, was er eigentlich genau sperrt und warum er es sperrt (oder besser nicht sperren sollte) und welche Auswirkungen das hat (oder wo es eben rein gar nichts bewirkt). Und um das ganz deutlich zu sagen: Ich wüsste es bei "PotPlayer" auch nicht, anders als bei Programmen wie Mail oder FTP, deren Netzgriffe nach standardisierten Schemata ablaufen, so daß man sie auf diese einschränken könnte, sofern man das wollte.

Das What's-new von PotPlayer spricht u.a. von "FTP playback function" und "personal broadcasting mobile transfer function". Der von Windows 7 gemeldete Kommunikationsversuch betrifft also mit hoher Wahrscheinlichkeit eine Funktion der Software, die einen Port öffnet und dort darauf wartet, dass eine andere Software (etwa ein anderer Player) auf ihn zugreift, damit der PotPlayer die Mediendatei vom PC ins Netz zum anderen Player streamt. Nur geraten, aber: PotPlayer ist ein Netzwerk-Medien-Server, ergo hält er Netzwerkverbindungen - das ist halt so ;-)

 

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...