Defender stufte fälschlich Winaero Tweaker als Hacker-Tool ein

[English]Das Tool Winaero Tweaker wurde vom Windows Defender irrtümlich als Hacker-Tool bzw. unerwünschte Software eingestuft und in Quarantäne gesteckt. Das Ganze scheint inzwischen aber wieder behoben zu sein.


Anzeige

Der Winaero Tweaker ist ein Tool für Windows 7 bis Windows 10, mit dem man bestimmte Informationen abrufen und Anpassungen vornehmen kann.

 Winaero Tweaker
(Winaero Tweaker)

Ich hatte es bereits die Tage bei den Kollegen von deskmodder.de gelesen. Einem Benutzer war aufgefallen, dass der Winaero Tweaker plötzlich unter Windows 10 als potentiell unerwünschte Software (PUS) in Quarantäne gesteckt und somit geblockt wurde. WinAero hatte das in diesem Artikel thematisiert. Hier einige Screenshots, die WinAero von diesem Vorfall gepostet hat.

Winaero Tweaker Flagged By Defender

In obigem Screenshot gibt es konkret den Hinweis, dass ein Virus im Winaero Tweaker gefunden worden sei. Die nachfolgende Toast-Benachrichtigung zeigt ebenfalls einen Fund.

Winaero Tweaker Flagged By Defender

Im nachfolgenden Screenshot wurde dann eine detailliertere Erklärung nachgereicht. Das Programm wurde als Hacking-Tool ausgewiesen.


Anzeige

Winaero Tweaker Flagged By Defender

Das war aber ein falscher Alarm, der Winaero Tweaker enthält keine Schadsoftware und ist kein Hacking-Tool. Inzwischen hat Microsoft den Fehler wohl bemerkt und das Ganze mit einem Definitionsupdate, welches den Defender auf die Version 1.313.1221.0 hebt, korrigiert.

Bleeping Computer hatte das Ganze hier aufgegriffen. Windows Defender verwendet Heuristik und KI, um Programme als bösartig zu klassifizieren, aber manchmal machen diese “intelligenten Systeme” Fehler. “Der Kompromiss eines intelligenten, skalierbaren Ansatzes besteht darin, dass einige unserer aggressiveren Klassifizierungen von Zeit zu Zeit normale Dateien fälschlicherweise als bösartig klassifizieren (False Positives). Obwohl False Positives im Vergleich zu der großen Anzahl von Malware, die wir korrekt identifizieren (echte Positivmeldungen) und vor der wir unsere Kunden schützen, ein sehr kleines Vorkommnis sind, sind wir uns der Auswirkungen bewusst, die falsch klassifizierte Dateien haben können”, schreibt Michael Johnson von Windows Defender Research.


Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit Defender, Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Defender stufte fälschlich Winaero Tweaker als Hacker-Tool ein


  1. Anzeige
  2. 1ST1 sagt:

    Laden Sie sich mal die NirSoft Suite als ZIP herunter und packen die mal aus… Da können Sie mal sehen, wie Defender geradezu ausflippt…

  3. deoroller sagt:

    Diesen Fehlalarm werte ich als nützlich. ;)

    Die NirSoft Suite wird in der Tat von einigen AV-Programmen beanstandet.
    Da, wo ich sie runterlade, wird die zip-Datei passwortgeschützt, was schon mal sicherstellt, dass das Archiv zumindest unbeschädigt beim Empfänger ankommt.

    • Günter Born sagt:

      Nun ja, zu NirSoft habe ich noch was in Petto – bin nur noch nicht dazu gekommen, das zu thematisieren. Nur so viel: Die AV-Programme haben Recht.

      • Matthias sagt:

        Da bin ich aber gespannt.
        Ich hoffe Du lässt uns nicht allzu lange auf den Artikel warten.

        MfG
        Matthias

        • Günter Born sagt:

          Dümpelt schon 2 Monate bei mir auf dem Stack – erst habe ich Sofer Nir Gelegenheit gegeben, zu reagieren. Da er aber toter Mann spielt, werde ich das bei Lust und Zeit offen legen. Nur so viel: Ich würde aus Sicherheitsgründen die Finger von lassen.

          • Matthias sagt:

            Okay.
            Das klingt besorgniserregend.
            Ich hatte bisher immer den Regscanner von Nirsoft für die Fehlersuche eingesetzt.
            Dann suche ich mir mal eine Alternative.

            Danke schon mal für den Hinweis und frohe Ostern!

            MfG
            Matthias

          • Ralf Lindemann sagt:

            Besorgniserregend? – Jaein, ich würde aber schon gerne erfahren, um was es konkret geht. – Ich verwende bei Bedarf auch schon mal ein NirSoft-Tool. Bei denen meckert keines der 50 oder 60 AV-Programme, die bei VirusTotal gelistet sind, auch nicht der Microsoft Defender. Die NirSoft-Suite verwende ich nicht. Dass bei der NirSoft-Suite AV-Programme anschlagen, ist (soweit ich weiß) weder neu noch überraschend, sondern erwartbar, weil die NirSoft-Suite „Werkzeuge“ enthält, die Dinge tun, die ins klassische Arbeitsspektrum von Hackern fallen … Besorgniserregend ist so gesehen eher, dass es AV-Programme gibt, die bei der NirSoft-Suite nicht anschlagen …

          • Dekre sagt:

            Das ist aber wieder das alte Thema mit NirSoft. Hatten wir hier schon des öfteren.
            Richtig ist, dass die AV-Programme dass erkennen. Es ist auch kein Spielzeug.
            Außerdem weist NirSorft auch selbst darauf hin.

            Insofern ist es kein “false positive”. @Ralf Lindemann hat Recht. Ich habe mal meine Passwörter für Outlook gebraucht und mein Mütterlein hatte diese auch vergessen. Bei so was muss man ruhig arbeiten, den AV-Scanner ausschalten und dann geht es. Es empfiehlt sich auch den PC vom Internet zu trennen. Das Ganze dauert nur kurz.

            MSE und Defender erkennen ganz andere Installations-exe-Dateien als Trojaner. Das ist ärgerlich. Ich habe mich daran gewöhnt, installiere das und entferne die Installationsdatei und dann ist Ruhe. Ich berichtete auch des öfteren hier. Ich habe gerade bei mir so einen ähnlichen Fall den nun Malwarebytes moniert. Man muss solche Fälle sich genau anschauen, bei was der AV-Scanner anschlägt und dann mal nachforschen. In der Regel schlagen die AV-Programme (nach Jahren) bei Installationsdateien an, nicht bei dem Programm selber.

          • Dat Bundesferkel sagt:

            Ich bin auch an Deinen Informationen zu NirSoft interessiert. Zwar nutze ich nur eine handvoll Werkzeuge, diese aber (bislang) durchaus überzeugt und zufrieden.

            Wenn da nun was Kritisches bekannt ist, würde ich natürlich gerne entsprechende Maßnahmen treffen.

  4. Anzeige

  5. Buc sagt:

    Immerhin erkennt MS an, dass es von Zeit zu Zeit zu “False Positives” kommen kann. (wie jeder ander AV-Hersteller)
    Mein angepasstes Fernwartungstool (Chunk-VNC) wurde vor kurzem ebenfalls geblockt. Nach einer Meldung mit 2 Sätzen dazu war das in 30 min. erledigt. Hätte ich so nicht erwartet.
    Versucht das mal mit Google! Mittlerweile wird vor meiner Webseite gewarnt, da sie angeblich “Schadsoftware” bereithält. “False-Positive” melden bei Google? Fehlanzeige. Die kennen den Begriff nicht mal. Big Brother ist unfehlbar. Man kann das File herausnehmen und dann melden, dass man “clean” ist. Gehts noch? Oder natürlich verschlüsseln, wozu ich gerade nicht komme. Wobei, in der Zeit, in der ich das hier schreibe… Aber egal, es geht ums Prinzip.
    “Don’t be evil. Don’t google!”

    Buc

    Und lass uns nicht zu lange auf die Nirsoft-Story warten. Der ist für mich bisher über jeden Verdacht erhaben… ;-)

    • 1ST1 sagt:

      Ich finde die NirSoft Tools sehr nützlich. Auf meinem Server sind einige Netzwertools aus der Suite im Autostart, z.B. das, was das Subnetz ständig nach Systemen durchsucht, so sehe ich was in meinem Heimnetz so los ist. Die Tools zum Auslesen der im Browser und Mailprogrammen gespeicherten Accountdaten habe ich benutzt, um die mal alle in Keepass zu speichern. Damit ich meine Ruhe vor den Warnungen habe, habe ich im Defender den Ordner, in dem die NirSoft Suite liegt, jeweils als Ausnahme hinzugefügt. Daher bin ich sehr gespannt auf den NirSoft Artikel.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.