Noch ein kurzer Hinweis: Die Entwickler der Software 7-Zip haben die Tage die Version 23.01 des Packprogramms mit kleineren Änderungen veröffentlicht. Die Kollegen von deskmodder.de haben das in diesem Beitrag aufgegriffen.
Anzeige
Zu früheren Beiträgen wie hier gab es Warnungen von Stefan Kanthak, dass die Software anfällig für DLL-Hijacking sei. Ob es noch zutrifft, habe ich nicht getestet.
Blog-Leser Stefan hat mich gestern kontaktiert, weil sein "Patchmanagement zu Hause" die Version 23.1 melde – die aber auf der 7-ZIP-Seite nicht angezeigt werde. Ich gehe davon aus, dass das ein Anzeigefehler war, denn das Update trägt die Version 23.01. Die Change-Logs sind hier einsehbar.
Stefan schreibt, dass ihm eine False-Positiv-Meldung des Defender im Internet untergekommen sei (siehe Screenshot). Die Meldung scheint aber inzwischen entfernt worden zu sein.
Anzeige
Anzeige
Der Defender halt mal wieder ;-P Also Eset und Kaspersky haben damit keine Probleme.
Der Defender meldete bei mir regelmässig Probleme bei Programme und Skripts die ich selbst geschrieben habe (und da bin ich mir zu 110% sicher das die malwarefrei sind)
Deswegen ist der auch deaktiviert. Läßt man Windows mal aussen vor, selten so ein Stück Scheiß Software gesehen wie der Defender!
False Positive Meldungen kann man immer hier an Microsoft melden:
https://www.microsoft.com/en-us/wdsi/filesubmission
In der Regel hat man nach 3-6 Stunden eine neue Virensignaturdatei, mit der es behoben wurde.
Während man den Defender unter Vista noch in die Tonne treten konnte, ist das Teil mit dem gleichen Namen unter Windows 10 durchaus in der Lage, sich in der Masse der unsinnigen Programme zu behaupten. Virenschutz kann konzeptbedingt nicht leisten, was versprochen wird.
Schaue ich mir trotzdem die kostenlosen Varianten der Unternehmen mit Gewinnerzielungsabsicht an und vergleiche die mit dem Defender, dann muss der sich nicht verstecken. Und den Link zur Meldung von False Positive wurde ja schon genannt.
Gewinnerzielungs Absicht?
Dir ist schon klar, das Windows und damit der Defender keine kostenlose Software ist?
Du hast das als Enduser mit dem Kauf der Hardware bezahlt.
Und die laufenden Kosten bezahlst Du mit Deinen Daten.
"Schaue ich mir trotzdem die kostenlosen Varianten der Unternehmen mit Gewinnerzielungsabsicht"
Er meinet auch Hersteller wie ESET, AVIRA, BITDEFENDER, KASPERSKY, AVG, ETC
Em, ja, und Microsoft hat keine Gewinnerziehkungsabsicht?
Auch wenn dieses Versionen kein Geld kosten,
werden sie nicht ohne Gewinnerzielungsabsicht
"kostenlos" abgegeben.
Zumindest als Betatester eignen solche kostenlosen Teile und war nicht ein Anbieter durch klare User-Ausforschung aufgefallen?
Und was ist mit Clamav?
JA nur das die von dir genannten auch Bezahlversionen mit größerem/besserem Umfang bieten. Das die Gratis Versionen nicht viel leisten ist allseits bekannt.
Der Defender wird jedenfalls standardmäßig deaktiviert! Taugt (zumindest für mich) absolut nix.
Ich vermute mal, diese selbstgeschriebenen Programme sind nicht digital signiert. Das mag Microsoft inzwischen so gar nicht mehr.
"Defender mal wieder" – unqualifizierter geht es kaum noch, hauptsache Microsoft bashen! False-Positives tauchen bei Antivierenprogrammen immer wieder mal auf, bei allen möglichen Herstellern. Ich musste mal mit damaligen Kollegen eine Firma mit 50 Standorten im Umkreis von 250 km rund um Frankfurt und über 1000 PCs wieder arbeitsfähig machen, weil am Morgen nach dem AV-Update alle PCs mit Bluescreen starteten, immer wieder. Ursache war, dass McAfee Windows-XP-Systemdateien als verdächtig markiert hat und in Quarantäne verschob. Wir waren die ganze Woche beschäftigt, das wieder gerade zu biegen. Solange es nur Tools wie 7Zip trifft, ist das alles halb so wild.
Einfach am nächsten Morgen den anderen Fuß beim Aufstehen nehmen ;-). Wer souverän ist, würde über so etwas schlicht nonchalant hinweg sehen – false positives gibt es bei jeder Sicherheitssoftware. Kopfschütteln … nur als Anregung – hab den Kommentar jetzt mal nicht gelöscht.
Wäre ich Betreiber eines solchen Blogs, wäre mir wichtig, dass in den Kommentaren kein ungqalifiziertes Bashing gegen irgendeinen Hersteller statt findet. Das sind dann Beiträge wie die von "Luzifer", Das tut nämlich alles nichts zur Sache.
Auch "Pau1" kommt nicht auf die Idee, dass Defender schon mit dem Kauf von Windows mit bezahlt wurde und Defender auch ein Mittel zum Zweck sein könnte, denn Microsoft hat sicher ein Interesse daran, seine Kunden vor Schaden, der durch Computerviren entsteht, zu schützen!
Solche primitiven Bashing Beiträge könnten dagegen den einen oder anderen Profi, der Ihren Blog auch liest, der z.B. für den Schutz eines ganzen Unternehmens mittels Defender for Business schützt, davon abhalten, hier was hilfreiches beizutragen. Das ganze driftet hier nicht nur bei den Kommentaren langsam in Richtung Niveau Heise-Forum bei MS-Themen ab, was ich sehr schade finde. Die eine oder andere Nadel in die offene Wunde zu stecken ist gut, aber das? Bei Heise finden sich inzwischen z.B. zu Patchdaythemen kaum noch Kommentare weil niemand mehr Bock auf das Geflame hat. Aber naja gut, irgendwann ist hier eh Schluss, wenn Sie keinen Bock mehr auf das Ganze haben, bis dahin können ja Kommentare dieser Art das Niveau hier noch runterziehen!
Ich versuche ja möglichst wenig zu zensieren – so mancher Beitrag von dir würde dann auch unter die Kategorie "kann weg" fallen. Ich hoffe ja, es zieht Einsicht bei der Leserschaft ein, bestimmte Aussagen nonchalant zu überspringen – die wirklich Souveränen machen das so.
Ich denke, man wird die Leute nicht von "Gegenpositionen" überzeugen können/wollen/sollen. Wenn es mir von meiner Seite aus aber gelingt, dass bei manchen Themen ein Nachdenken einsetzt, ohne reflexartig "machen andere auch nicht besser", "ist alternativlos", "ist das Beste am Markt" rauszuhauen, wäre schon viel gewonnen.
Nach über 40 Jahren im IT-Bereich ist für mich nichts mehr fremd und mir ist auch klar, dass es Sachzwänge in den Unternehmen gibt. Das ist auch kein Problem. Aber an manchen Stellen ist mir persönlich einfach vieles zu "blauäugig", was an Positionen vertreten wird.
Das sind die Nadeln in der Flesichwunde, die ja gut und wichtig sind, hab ich (und viele andere sicher auch) ja nichts dagegen. Aber wenn es mal ein Softwareproblem eines Herstelers aufgegriffen wird und sofort der Beißreflexkommentare "ich wusste es ja schon immer, MS würd ich nie nehmen" oder die ganzen Besserwisser, die glauben, dass für jeden Leser hier Linux die bessere Wahl wäre, die stören halt. Sie machen hier einen Blog mit Schwerpunkt Windows bei den Betriebssystemen, ich frage mich daher, was die ganzen Linuxer wollen außer mit ihren Beiträgen sich zu bepauchpinseln wie toll sie doch sind. Dieses Geflame nervt nur.
Das zwanghafte "Microsoft-Verteidige" nervt ehrlich gesagt auch langsam, scheinst du aber nicht zu merken. Und die ganzen Linuxer hier sind wohl auch Administratoren oder Benutzer mit technischem Anspruch. Und dass man bei dem Verhalten von Microsoft fast zwangsläufig von dem Konzern Abstand nimmt, zumindest privat, dürfe einleuchten. Naja dir nicht das ist klar du regst dich nur drüber auf dass nicht jeder so ist wie du.
@Günter du hast hast recht viele Kommentare von ihm fallen unter die Kategorie "kann weg"
Der Blog heisst : "Borns IT- und Windows-Blog"
Da haben auch andere Systeme doch einen Platz verdient.
Und 1ST1 hat bezüglich der Qualität einiger Kommentar (manche hier brauchen den Blog für sich alleine, könnte man durchaus meinen) durchaus recht. Da wird einem der Eindruck vermittelt, dass ausser denen keine anderer weiss wie es funktioniert bzw. gemacht wird. Dabei ist es dann egal, ob es jetzt Microsoft, der Hersteller irgendeiner Appliance, Cisio, Oracle, SAP oder der "Karl" oder was bzw. wer auch immer ist.
Irgendwie macht die Sonne uns zu schaffen….
Ich kam sehr wohl auf die Idee, das der Defender nicht kostenlos ist.
Das war der vormir, der da den Defender mit den kostenlos-Versonen anderer Anbieter verglich.
Sage mir bitte, warum auch nur ein antivirus hersteller aus nur eine Sekund Zeit einsetzen solle, um den "ultimativen" Scanner zu bauen.
Den würde er dann zwar bombig verkaufen, aber nur einmal.
Naja gegen gelegentliche False Positives habe ich nix, kann vorkommen. Der Defender bemängelte die aber regelmäßig und wenn man die als Ausnahme zuläßt nach jedem Update wieder aufs Neue und das geht gar nicht!
Und ne Signierung vorhanden oder nicht hat nun mal nix mit Malware zu tun!
Zumindest bei ESET hatte ich bisher keine False Positives, Kaspersky ja aber sehr selten.
Es geht also durchaus!
Was auch nicht geht solche Dateien einfach zu löschen!, Funde gehören in die Quarantäne!
Das kann man im Defender 4 Business einstellen und bei Privatleuten poppt da was auf, worauf man reagieren kann, und selbst auswählen kann. Wenn man das ignoriert, macht Defender halt irgendwas, was es für richtig hält. Auf meinem privaten Heimserver tummelt sich in diversen Verteichnissen ein "ft.com", das ein Filetransfertool für MS-DOS hin zum (MS-DOS kompatiblen) Atari Portfolio Parlmtop Computer ist, das kann ein 64 Bit Windows garnicht mehr ausführen und dennnoch gab es immer wieder die Meldung, eine Dateiausnahme ist aber schnell erstellt. Und ja, ft.com ist kein Schädling, und ich brauche das, ich spiele gelegntlich mit dem Pofo rum und irgendwie muss man ja da auch Dateien rüber bekommen, passende DOS-PCs sind auch da.
Ich möchte auch als Privatperson aber nicht sowas: "macht Defender halt irgendwas, was es für richtig hält" Wenn man dem Ding nicht beibringen kann was es zu tun hat ist es unbrauchbar fertig.
Das machen die anderen Schutzprogramme auch, wenn es nicht (nachträglich) fein eingestellt wird. Einige Fragen, andere nicht.
Wurde wohl schon behoben, hier gibt es keine Meldung vom Defender.
Ich sehe seit kurzem Meldungen vom Defender über PUA-Funde. Die sind aber schon ewig auf der Platte. Z.B. ein Tool um die WLAN-Schlüssel auszulesen, was jeder User ohne Admin-Rechte mittels netsh sowieso kann.
Hat MS die Regeln verschärft?
(W10 pro)
ich kann nur NanaZip empfehlen (Basiert auf 7-Zip)
Vorteile im Gegensatz zu 7-Zip
– Signiert
– Funktionierende Kontextmenü in Windows 11
– Automatisches Selbstupdate
Hab mal die aktuellen Versionen in Virus Total gesteckt.
2 Scanner meckern die 7zipInstall.exe, mit "generic" die 32 bit version an,
die 64 bit wird nur von SecureAge angemeckert.
Jiangmin Trojan.Generic.hgxbf
SecureAge Malicious
Irgendwas muß da im 7zinstall.exe sein, das den Fehlalarm auslöst.
Die .msi jedoch gehen alle unbemängelt durch…
.exe
Creation Time 2023-06-20 07:00:00 UTC
First Seen In The Wild 2023-06-20 09:00:00 UTC
First Submission 2023-06-20 10:39:13 UTC
.msi
Creation Time 2023-06-20 13:39:36 UTC
First Submission 2023-06-20 11:19:42 UTC
Das ein Virenscanner bei einem neuen Programm warnt ist OK.
Es ist eine ständig Gradwanderung.
Manche der Zusatzkosten-Verursachenden Scanner sind ja für ihre ständigen PopUps berüchtigt. Defender hält sich da sehr zurück und hat sehr schnell die Falschmeldung behoben.
BTW:
Früher gab es mal die Virentest EICAR-Testdatei.
Das war ein .com File und somit heute keine Gefahr mehr,
aber die Scanner reagierten trotzdem immer drauf.
Es war ja ein Test Muster.
Es war aber immer sehr hilfreich um festzustellen, ob der Virenscanner noch arbeitet und Funde melden kann.
Ich kann mir zwar ein Virus-Programm absichtlich herunter laden,
aber im Gegensatz zum obigen habe diese eine Schadfunktion.
Welches Programm nimmt man heute?
> Welches Programm nimmt man heute?
Immer noch EICAR:
https://www.eicar.org/download-anti-malware-testfile/
Das geht ebend nicht mehr.
Das eicar.com wird zwar von 63 aus 66 oder 65 erkannt, und auch als EICAR benannt.
3/2 finden es nicht beachtens wert und 9 sagen,
das sie diesen DateiTyp nicht kennen…"Unable to process file type"
MS schockt den User mit einem "schwerwiegend" und putzt
alle spuren weg. Als eicar.txt kann man sich das Teil aber im Browser ansehen.
Naja, ist nicht mehr ganz so schlimm wie füher.
Ich glaube bei ms answers gab es mal einen Artikel warum sie eicar nicht mehr erkennen wollen. Weil ein .com ja nicht mehr ausführbar ist…
eicar.org wird "nur" von 10 aus 90 scannern als böse gemeldet,,,
Updates für Defender (u.a. Microsoft-Stuff) könnten allerdings aktuell Probleme bekommen:
Bei uns schrillten heute Morgen die Alarmglocken
"Advanced Threat Protection:
A threat has been detected in your network
The source IP/host listed below was found to communicate with a potentially malicious site outside your company"
und die entsprechende IP war 209(.)197(.)3(.)8 -> ReverseDNS ctldl(.)windowsupdate(.)com
Diese scheinen laut VirusTotal momentan ein Haufen Scanner zu blacklisten.
Nach Cisco geht die entsprechende Signatur wohl auf eine Schwachstelle aus 2005 bei der Behandlung von CAB Archiven zurück.
https://community.meraki.com/t5/Security-SD-WAN/Meraki-IDS-Alerts-across-multiple-MX-s/m-p/198875
(ein Schelm der denkt das Edge-Updates endlich als Malware erkannt werden :rofl: )
Danke für den Hinweis – hat gerade gepasst -> siehe False Positives: Sophos meldet MS-IP 209.197.3.8 als C2-Attacke, Fehlalarme bei weiteren Virenscannern