Kleiner Hinweis für Windows 11-Nutzer, die mit RAR-Archiven für komprimierte Dateien arbeiten. Ein Benutzer hat sich gemeldet und darauf hingewiesen, dass solche Archive seit einigen Tagen vom Windows Defender fälschlich als Trojaner "Wacatac.H!ml" gemeldet werden. Die gleichen Dateien unter Windows 10 lösen dagegen keinen Defender-Alarm aus. Ich habe dann im Internet etwas recherchiert – es gibt seit Monaten immer mal wieder Meldungen zu diesem Thema.
Anzeige
Eine Nutzermeldung
Peter G. hat mich zum Sonntag per Mail über das Thema informiert, welches ihn bereits seit einigen Tage nervt. Bei ihm schlägt der Defender unter Windows 11 bei RAR-Archivdateien Alarm und meldet einen Trojaner "Wacatac.H!ml" als Fund.
Guten Tag Herr Born
Ich arbeite parallel mit Win 10 und Win 11 Computern.
Nur auf den Win 11 Computern, meldet Defender seit ein paar Tagen das er den Trojaner "Wacatac.H!ml" gefunden habe.
Wenn ich die gleiche Datei auf dem Win 10 Computer herunter lade, gibt es keinen Alarm.
Es sind nur Dateien des Types ".RAR" betroffen.
Das Ganze deutet bereits darauf hin, dass da der "Fund" möglicherweise nicht ganz koscher ist, denn Windows 11 beschwert sich, während der Defender unter Windows 10 still bleibt. Peter hat das Ganze auch auf administrator.de in diesem Thread eingestellt. Und im Trojaner-Board gibt es seit dem 25. März 2023 diesen Thread von Peter, wo er seine Log-Dateien aus Windows 11 Version 22H2 eingestellt hat. Es könnte natürlich sein, dass Peter sich aus eingefangen hat.
Funde im Internet mehren sich
Ich habe natürlich eine Recherche durchgeführt und Peter hat mir ebenfalls Links zu Fundstellen geschickt, die das Ganze als Fehlalarm erscheinen lassen. Eine erste Fundstelle habe ich aus dem Oktober 2022 bei Microsoft Answers im Forum gefunden. Dort geht es um Windows 10, wo der Windows Defender einen entsprechenden Fund meldet, während Drittanbieter-Antivirus-Lösungen nichts finden.
Anzeige
Eine weitere Fundstelle auf reddit.com, die Peter erwähnt, thematisiert das Tool Nougat 64 von BlueStacks, welches als mit dem Trojaner infiziert gemeldet wird. Von BlueStacks gibt es aber diesen reddit.com-Post, wo das Ganze als falscher Alarm bezeichnet wird.
Eine zweite Fundstelle mit entsprechenden Hinweisen gibt es im flightsimulator.Forum im Thread Malware warning when installing mandatory update after sim reinstall, wo eine Datei vom Flugsimulator vom Defender als mit dem Trojaner "Wacatac.H!ml" befallen gemeldet wird, während die Datei auf virustotal.com keine Warnungen erzielt.
In elevenforum.com gibt es seit zwei Tagen diesen Thread, wo ein Defender-Alarm angesprochen wird, der verhindert, dass das Programm H2testw Dateien erzeugt und speichert. In diesem Fall deutet alles ebenfalls auf einen falschen Alarm hin, da fremde Virenscanner nichts finden.
Auf gutefrage.net findet sich dieser Thread, in dem sich ein Nutzer über eine entsprechende Fehlermeldung beim Packen eines Mincraft-Server-Ordners als ZIP-Archiv beschwert. Dort gibt es den Hinweis eines anderen Nutzers (ohne weitere Quellenangabe), dass der Fehler seit einigen Tagen auftrete und durch ein Defender Signatur-Update verursacht werde.
Unter diesem Gesichtspunkt gehe ich davon aus, dass der Defender durch ein Signatur-Update die Dateien fälschlich als Trojaner "Wacatac.H!ml" erkennt. Frage in die Runde, ob noch jemand die letzten Tage unter Windows 11 eine solche Meldung des Defender erhalten hat.
Anzeige
Das Problem scheint nicht nur .rar Dateien zu betreffen. Die Software eines bekannten Telefonanlagen-Herstellers wurde vor zwei Wochen auch fälschlicherweise als "Wacatac.H!ml" erkannt (.exe):
Das wird einfach ein selbstentpackendes RAR Archiv sein.
Danke für die Nachricht! Ich hatte am Wochenende das Problem, dass ich den Acrobat Reader auf Win11 nicht installieren konnte. Der Devender "erkannte" immer die genannte "Bedrohung". Unter Win10 lief die Installation wunderbar.
Du hast ds Rätsel gelöst! ;-)
Danke für den Hinweis, ich hatte diese irritierende Meldung letzte Woche bei einem von unserem Entwickler erstellten Build (.exe) und war entsprechend verwirrt. :)
Also ich hatte am Freitag, also den 24. März, unter Win10 22H2 ebenso eine Alarmierung bezüglich "Wacatac.H!ml" bei einer rar-Datei.
Heute, nach dem Lesen des Artikels, testweise die gleiche Datei heruntergeladen und entpackt und habe heute keine Meldung vom Defender erhalten.
Daher muss es wohl auch bei Win10 und nicht nur Win11 einen Fehler beim Defender gegeben haben.
Aktuelle Daten zum Defender:
Antimalware-Clientversion: 4.18.2302.7
Modulversion: 1.1.20100.6
Antiviren-Version: 1.385.1217.0
Antispyware-Version: 1.385.1217.0
Mir noch bekannte Daten vom Freitag zum Defender:
Antimalware-Clientversion: 4.18.2302.7
Modulversion: 1.1.20100.6
Antiviren-Version: 1.385.987.0 oder 1.385.883.0
Antispyware-Version: 1.385.987.0 oder 1.385.883.0
Besteht die Möglichkeit den Text der Warung im Wortlaut wiederzugeben? Dann kann Google interessierte besser hier her führen.
H2testw ist das uralte USB Stick Test- Programm von der CT.
Es schreibt definierte Pseudo Zufallszahlen in bis zu
1GB große Files und prüft dann ob alles gespeichert wurde.
Das Programm und erst Recht die Files sind völlig harmlos.
wie kann der Defender darin eine Gefahr erkennen?
ich vermute mal das das nix mit rar zutun hat.
>>> wie kann der Defender darin eine Gefahr erkennen?
Weil es Datenträger-Devices zum "Schreiben" öffnet und dann mit Zahlen füllt? Was anderes machen Schädlinge zuweilen auch nicht. Das so was den Virenscanner triggert ist erst mal verständlich.
h2testw legt erst Dateien an, bis der Datenträger voll ist.
Dann liest er diese Dateien und prüft ob sie korrekt gespeichert worden sind.
Es schreibt nie wieder solange die Dateien schon vorhanden sind.
Der Defender spricht auf einen bestimmten Inhalt der Dateien an.
Es gab mal ein Problem mit UPX komprimierten Datei.
Manch Viren nutzten diesen exe Kompressor.
so wurden eine zeitlang auch harmlose UPX Programme als gefährlich gemeldet.
Aber so langsam sollte MS das falsche Pattern entfernt haben…
Wer den Defender dauerhaft deaktivieren möchte:
https://www.sordum.org/9480/defender-control-v2-1/
Hinweise:
1. Hierfür muss vorerst der Defender + Manipulations-Schutz manuell in den Einstellungen deaktiviert werden.
2. Sollte man nur tun, wenn man einen Thirdparty AntiVirus einsetzt und weis was man tut.
Nutzt du Third Party Schutzprogramme wird der Defender doch automatisch deaktiviert … und löscht du die Third Party Software wieder, wird er wieder aktiviert. Ist die Bessere Lösung sonst steht du plötzlich mit heruntergelassen Hoosen da ;-P
Hallo in die Runde.
Hatte ich auch unter W10 / Egde mit eine definitiv sauberen RAR Datei. Der Download musste von mir explizit zugelassen werden. Bei mir schlummert der Defender da Bitdefender Antivirus im Einsatz ist
Ich hatte das Problem heute auch. Mehrfach wurden .rar Dateien entdeckt, die diese Trojaner haben sollten. Jetzt bin ich zum Glück etwas beruhigter.
Regelt sich das wohl automatisch? Also das sie merken, dass sie fälschlicherweise anspringen und das entsprechend korrigieren?
Ich hate dies letzte Woche mit einem 7z Archive mit einem aktuellen Windows 10 22H2. Virustotal und ein anderes aktuelles W10 fanden nichts auffälliges. Serverseitig war auch alles ok und die Prüfsumme der Datei ebenfalls gleich.
wer viel Zeit hat könnte ja mal mit den Files die hdtestw erzeugt sukzessive Approximation ausprobieren welche Byte Folge den Defender triggert.
Gibt es eigentlich Schadware/Gruppen die es bewusst auf die Erkennungsrate von Antivirenprogrammen abgesehen haben? Das man aktiv versucht diese zu beeinflussen, dass legitime Programme plötzlich als Schadware erkannt werden und auf der anderen Seiten dann versucht wird die Schadware z.B. mit irgendwelchen Bestanteilen von legitimen Programmen zu spicken? Sobald eine Antivirensoftware anfängt legitime Programme zu blocken, dann muss der Anbieter irgendwie reagieren.
Bei mir wars der "Trojaner" Wacatac.B!ml auf einem Windows 2022 Server.
Beanstandet wurde ein Zip Archiv einer Software eines Dienstplanherstellers.
Die Datei wurde vom Defender in die Quarantäne geschickt.
Win10 meldete kein Problem. Virustotal ebenfalls nicht.
Nach einem Update der Signaturen wurde die Datei nicht mehr beanstandet.
Ich hatte gestern dasselbe Problem bei Windows 10. Danke, jetzt bin ich schlauer. :D
rar ist auch kein industriestandard in dem sinne. frueher szene standard usw. seit 7z dateiformat und den ganzen 7z specs und sdk warum sollte man da noch proprietaeres rar zeug fahren?
Bei mir ist ein Microsoft eigenes Tool betroffen (Microsoft Ads Editor) auf Windows 10 Pro. Die Updates im nupkg Format brachen ständig mit einer Fehlermeldung bei 100% ab. Erst die Defender Meldung in Verbindung mit diesem Artikel hat mir gezeigt, woran es liegt.
Auch die neuesten Updates von heute haben an dem Fehlalarm nichts geändert.
Mir ist noch aufgefallen, dass ich nicht auf den ersten Blick eine Ausnahme nur für diese Datei erstellen konnte. Was ich für eine individuelle Ausnahme gehalten habe, hat sich als eine komplette Deaktivierung des Schutzes herausgestellt.
Ergänzung: das nupkg Format beruht auch auf ZIP. Es scheint sich also um ein Problem mit gepackten Dateien zu handeln.
Gestern Nachmittag hatte ich hier ebenfalls den vermeintlichen Schädling, in einer von mir erstellten und mit Passwort gesicherten ZIP-Datei.
System ist in dem Fall Windows 10 22H2.
Gleiches Phänomen für RAR Datei bei mir unter Windows 10 Pro 22H2 aufgetreten.
Bin ebenfalls betroffen!
Sodrum Defender Control lässt sich nicht mehr nutzen!
Sämtliche Anleitungen wie man Defender ausschaltet funktionieren nicht mehr!
Was tatsächlich schnell gehofen hat ist einen anderen Virenschutz zu installieren.
Wir haben jetzt dasselbe Problem mit einer ISO-Datei zum Download. Wir haben mit fünf verschiedenen AV-Programmen die ISO-Datei und deren Inhalte untersucht. Was alle hier gemeldeten Dateien gemeinsam haben, ist dass sie heruntergeladen wurden und ein Archiv sind, vermutlich alle selbstentpackend oder wir bei uns mit einer start.exe versehen. Ich vermute deshalb eine generische Erkennung, die zu dem False Positive führt. Wenn man mit der rechten Maustaste auf die ISO klickt, steht dort ein Eintrag "Diese Datei stammt von einem anderen Computer. Der Zugriff wurde aus Sicherheitsgründen eventuell blockiert.". Wenn bei "Zulassen" einen Haken setzt, dann verschwindet das Problem. Was natürlich nur sinnvoll ist, wenn man sicher weiß, dass es kein Virenproblem ist.
Scheint nun erneut aufzutreten. Habe heute frisch wieder eine neue Datei als gleicher Virus erkannt, wo ich denke es ist eine Falschmeldung. Schade dachte Microsoft hätte das Problem gelöst. Warte vorsichtshalber mal ein paar Tage und versuche es erneut mit der Datei. Wenn Defender ein Update gemacht hat.
Hier der Link zu einer RAR mit MP3-Files. Unter Win10 meldet der Defender den Trojan:Script/Wacatac.B!ml und lässt erst mal die RAR verschwinden. Everything hat sie dann wieder gefunden. Ich konnte die Datei auspacken ohne Probleme, es waren nur MP3 und JPG und TXT drin.
Also: wer es ausprobieren will, kann es hier. Die MP3-Daten wieder löschen ist notwendig und Voraussetzung für Euer Tun.
Ach ja, beinahe vergessen, der Link:
https://www.imagenetz.de/YzWrP
Die letzte Version von WinRAR selbst (6.24, Stand 30.10.2023 von win-rar.com) wurde auf meinem System (Windows 11) auch als Wacatac erkannt.
Bei mir hat es heute die vssvc.exe als wacatac erkannt und gelöscht, sodass der VSS Dienst nichtmehr funktioniert. Virustotal hat hat nicht angeschlagen und mein System ist jetzt Schrott, da der VSS Dienst weg ist.
Ich erzeuge seit 1999 Setup-Dateien mit dem Tool "IExpress 2.0", das die Programmierung einer Setup-Datei enorm vereinfacht. Seit etwa einem Jahr (bis zum heutigen Tage) werden Dateien, die so verpackt wurden, vom Windows Defender als infiziert mit "Wacatac.B!ml" eingestuft, die neuen und auch die uralten Dateien, die verpackt wurden, als es diesen Trojaner noch gar nicht gab.
Übrigens ist "IExpress 2.0" von Microsoft und liegt allen Windows-Versionen seit Windows 95 (??) bis Windows 11 in unveränderter Form bei.
Wir haben das selbe Problem aktuell mit einer selbst erstellten Iso unter Windows Server 2022.
Ich hatte auch dieses Erlebnis – und zwar mit einem selbst erstellten SFX in WinRAR: Von NERO den aktuellen Offline Installer als ZIP (1,83 GB) von https://www.nero.com/download.php?id=npla_full_installer heruntergeladen, das ZIP entpackt und danach die Idee gehabt, ich will den Offline Installer genauso wie den Online Installer, der ja eine EXE-Datei ist, als *.EXE und nicht als ZIP in meiner Software-Sammlung ablegen.
Also in Windows 10 mit WinRAR 7.00 ein SFX erstellt, und zwar:
1.) Als solides RAR-Archiv als Komprimierungstechnik, vor Veränderungen geschützt, maximale Komprimierung; SFX-Icon, SFX-Logo und beschreibender Text für das SFX-Fenster von mir individuell gestaltet; nach dem Entpacken soll automatisch NeroInstaller.exe gestartet werden.
Dieses SFX auf WinRAR-Basis (*.EXE) hat schlussendlich 1,79 GB, also hat WinRAR sehr gut komprimiert – vgl. mit den 1,83 GB des originären ZIP. Im anschließenden Testlauf war alles OK. Die RAR-Technik hat also doch ihre Berechtigung.
2.) Der Neugierde halber dasselbe Spiel jetzt als in WinRAR selbst erstelltes SFX, aber diesmal mit ZIP-Technik als Komprimierung. Wieder mit der Option "maximale Komprimierung". Ansonsten dieselben Details wie vorher: SFX-Icon, SFX-Logo und beschreibender Text für das SFX-Fenster von mir individuell gestaltet; nach dem Entpacken soll automatisch NeroInstaller.exe gestartet werden.
Die erste Überraschung: Das SFX auf ZIP-Basis ist 1,83 GB groß. Zwar genauso groß wie das originäre ZIP, aber doch größer als das SFX mit RAR-Komprimierung. Die zweite Überraschung: Windows Defender in Windows 10 schreitet sofort ein und behauptet eine schwerwiegende Bedrohung mit "Trojan:Win32/Wacatac.B!ml".
Natürlich kann man auch Fehlalarme an Microsoft melden. Dumm nur, dass der Upload für vermeintlich infizierte Dateien nur bis maximal 500 MB geht. Ich mit meiner selbst erstellen 1,83 GB großen EXE-Datei als vermeintliches Corpus Delicti kann mich hier auf gut Deutsch gesagt brausen gehen. Kein eingesandtes Verdachtsfile – keine absendbare Meldung möglich.