{"id":286570,"date":"2023-09-30T16:18:29","date_gmt":"2023-09-30T14:18:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286570"},"modified":"2023-12-27T14:20:34","modified_gmt":"2023-12-27T13:20:34","slug":"microsoft-defender-lst-bei-tor-exe-warnung-vor-trojanwin32-malgentmtb-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/30\/microsoft-defender-lst-bei-tor-exe-warnung-vor-trojanwin32-malgentmtb-aus\/","title":{"rendered":"Microsoft Defender löst bei Tor.exe Warnung vor "Trojan:Win32\/Malgent!MTB" aus"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Vor wenigen Stunden gab es beim Tor-Browser ein Sicherheitsupdate, mit dem eine Schwachstelle geschlossen wurde. Nun l\u00f6st der Microsoft Defender in Form der Windows-Sicherheit beim Aufruf des Tor-Browsers einen Alarm aus und schiebt die Datei tor.exe<\/em> in Quarant\u00e4ne. Es wird vor einem \"Trojan:Win32\/Malgent!MTB\" gewarnt.<\/p>\n

<\/p>\n

\"\"Patrick hat mich per E-Mail auf diesen Sachverhalt aufmerksam gemacht (danke daf\u00fcr) und schrieb \"tor.exe\" (Tor Browser) wird von Microsofts Windows-Sicherheit heute, 2023-09-30 als \"Trojan:Win32\/Malgent!MTB\" erkannt<\/em>. Er verwendet folgende Version:<\/p>\n

Tor Browser 12.5.5
\nDateiname: tor.exe (7.804.416 Bytes)
\nSHA256: 3807d96998a15aed25ec9a95c3183385c6c73f6dde811ef2452c30f5f7df2810<\/p>\n

\"Defender<\/p>\n

Ich habe gleich mal meinen Tor-Installation unter Windows 10 \u00fcberpr\u00fcft und bekam in der Tat einen Alarm per Toast-Benachrichtigung (siehe oben) und in Windows-Sicherheit folgende Anzeige.<\/p>\n

\"tor.exe:<\/p>\n

Patrick hat dann die Datei mal die Datei auf Virus Total hochgeladen und schreibt, dass aktuell 3 Virenscanner einen Trojaner erkennen. Als ich die betreffende virustotal-Seite<\/a> aufgerufen habe, waren bereits vier Scanner, die anschlugen.<\/p>\n

\"tor.exe:<\/a><\/p>\n

Der Stand der Windows-Virensignaturen beim Scan ist: 1.397.1801.0 und 1.397.1814.0 (2023-09-30 06:13)<\/p>\n

Patrick hat sich dann nochmals den Download von www.torproject.org<\/a> aus dem Archiv heruntergeladen und die PGP-Signaturen ebenfalls gepr\u00fcft. Die Datei
\n\"tor.exe<\/em>\" hat die die gleiche 256-Checksumme und die aktualisierten Virensignaturen ergeben immer noch die als \"schwerwiegend\" eingestufte Sicherheitsmeldung in Windows 10. Die Analyseseite bei Virus Total zur hochgeladenen Datei tor.exe <\/em>heute immer wieder aktualisiert, schreibt Patrick.<\/p>\n

Auch Blog-Leser Stefan hat sich eben per Mail gemeldet und schreibt:<\/p>\n

Moin G\u00fcnter,<\/p>\n

gerade Update vom Tor Browser vorgenommen und der Windows Defender erkennt die Tor.exe als Trojaner und verschiebt diese in Quarant\u00e4ne. Ich vermute einen False-Positive.<\/p><\/blockquote>\n

Er hat mir auch gleich die Fundstelle bei reddit.com mitgeliefert<\/a>, wo ebenfalls ein betreffender Nutzerkommentar zu finden ist. Weitere Nutzer best\u00e4tigen diese Beobachtung. Hei\u00dft, dass eine Menge Leute aktuell kein Tor-Bundle betreiben k\u00f6nnen oder eine Ausnahme definieren m\u00fcssen, falls es sich um eine False-Positive-Meldung handelt.<\/p>\n

Es gibt noch einen zweiten reddit.com-Post<\/a> zum Thema, wo jemand schrieb, dass der erneute Download und die Installation des Tor-Bundle bei ihm den Fehlalarm beendet habe. Mein Versuch, einen alten Installer von Tor erneut zu installieren, klappte zwar und der Tor startete wieder. Nach dem Auto-Update l\u00f6st der Defender aber wieder einen Alarm aus und verschob die tor.exe<\/em> in Quarant\u00e4ne. Aktuell werde ich den Tor pausieren, bis der Sachverhalt gekl\u00e4rt ist.<\/p>\n

Aussagen des Tor-Projekts<\/h2>\n

Auf den Webseiten des Tor-Projekts findet sich diese FAQ<\/a> in der es hei\u00dft, dass einige Antivirenprogramme Warnungen vor Malware und\/oder Sicherheitsl\u00fccken anzeigen, wenn der Tor-Browser gestartet wird. Dort findet sich die Aussage: Wenn du den Tor-Browser von unserer Hauptseite heruntergeladen oder GetTor benutzt hast und ihn verifiziert hast, sind diese Warnungen falsch positiv und du musst dir keine Sorgen machen.\u00a0<\/em>Auf der FAQ-Seite gibt es dann auch den Hinweis, in diesem Fall die\u00a0tor.exe\u00a0<\/em>und ggf. weitere Dateien als Ausnahmen in der Viruspr\u00fcfung zu definieren.<\/p>\n

Eine Erkl\u00e4rung f\u00fcr die pl\u00f6tzlichen Fehlalarme k\u00f6nnte die Einf\u00fchrung einer Proof-of-Work-Verteidigung<\/a> (PoW) f\u00fcr Onion-Dienste sein, die Ende August 2023 eingef\u00fchrt wurde (siehe auch diesen Kommentar<\/a> von David im englischen Blog).<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Vor wenigen Stunden gab es beim Tor-Browser ein Sicherheitsupdate, mit dem eine Schwachstelle geschlossen wurde. Nun l\u00f6st der Microsoft Defender in Form der Windows-Sicherheit beim Aufruf des Tor-Browsers einen Alarm aus und schiebt die Datei tor.exe in Quarant\u00e4ne. Es wird … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[161],"tags":[4313],"class_list":["post-286570","post","type-post","status-publish","format-standard","hentry","category-virenschutz","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286570","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=286570"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286570\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=286570"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=286570"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=286570"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}