Kleiner Hinweis für Windows 11-Nutzer, die mit RAR-Archiven für komprimierte Dateien arbeiten. Ein Benutzer hat sich gemeldet und darauf hingewiesen, dass solche Archive seit einigen Tagen vom Windows Defender fälschlich als Trojaner "Wacatac.H!ml" gemeldet werden. Die gleichen Dateien unter Windows 10 lösen dagegen keinen Defender-Alarm aus. Ich habe dann im Internet etwas recherchiert – es gibt seit Monaten immer mal wieder Meldungen zu diesem Thema.
Anzeige
Eine Nutzermeldung
Peter G. hat mich zum Sonntag per Mail über das Thema informiert, welches ihn bereits seit einigen Tage nervt. Bei ihm schlägt der Defender unter Windows 11 bei RAR-Archivdateien Alarm und meldet einen Trojaner "Wacatac.H!ml" als Fund.
Guten Tag Herr Born
Ich arbeite parallel mit Win 10 und Win 11 Computern.
Nur auf den Win 11 Computern, meldet Defender seit ein paar Tagen das er den Trojaner "Wacatac.H!ml" gefunden habe.
Wenn ich die gleiche Datei auf dem Win 10 Computer herunter lade, gibt es keinen Alarm.
Es sind nur Dateien des Types ".RAR" betroffen.
Das Ganze deutet bereits darauf hin, dass da der "Fund" möglicherweise nicht ganz koscher ist, denn Windows 11 beschwert sich, während der Defender unter Windows 10 still bleibt. Peter hat das Ganze auch auf administrator.de in diesem Thread eingestellt. Und im Trojaner-Board gibt es seit dem 25. März 2023 diesen Thread von Peter, wo er seine Log-Dateien aus Windows 11 Version 22H2 eingestellt hat. Es könnte natürlich sein, dass Peter sich aus eingefangen hat.
Funde im Internet mehren sich
Ich habe natürlich eine Recherche durchgeführt und Peter hat mir ebenfalls Links zu Fundstellen geschickt, die das Ganze als Fehlalarm erscheinen lassen. Eine erste Fundstelle habe ich aus dem Oktober 2022 bei Microsoft Answers im Forum gefunden. Dort geht es um Windows 10, wo der Windows Defender einen entsprechenden Fund meldet, während Drittanbieter-Antivirus-Lösungen nichts finden.
Eine weitere Fundstelle auf reddit.com, die Peter erwähnt, thematisiert das Tool Nougat 64 von BlueStacks, welches als mit dem Trojaner infiziert gemeldet wird. Von BlueStacks gibt es aber diesen reddit.com-Post, wo das Ganze als falscher Alarm bezeichnet wird.
Eine zweite Fundstelle mit entsprechenden Hinweisen gibt es im flightsimulator.Forum im Thread Malware warning when installing mandatory update after sim reinstall, wo eine Datei vom Flugsimulator vom Defender als mit dem Trojaner "Wacatac.H!ml" befallen gemeldet wird, während die Datei auf virustotal.com keine Warnungen erzielt.
In elevenforum.com gibt es seit zwei Tagen diesen Thread, wo ein Defender-Alarm angesprochen wird, der verhindert, dass das Programm H2testw Dateien erzeugt und speichert. In diesem Fall deutet alles ebenfalls auf einen falschen Alarm hin, da fremde Virenscanner nichts finden.
Auf gutefrage.net findet sich dieser Thread, in dem sich ein Nutzer über eine entsprechende Fehlermeldung beim Packen eines Mincraft-Server-Ordners als ZIP-Archiv beschwert. Dort gibt es den Hinweis eines anderen Nutzers (ohne weitere Quellenangabe), dass der Fehler seit einigen Tagen auftrete und durch ein Defender Signatur-Update verursacht werde.
Anzeige
Unter diesem Gesichtspunkt gehe ich davon aus, dass der Defender durch ein Signatur-Update die Dateien fälschlich als Trojaner "Wacatac.H!ml" erkennt. Frage in die Runde, ob noch jemand die letzten Tage unter Windows 11 eine solche Meldung des Defender erhalten hat.
2015
Das Problem scheint nicht nur .rar Dateien zu betreffen. Die Software eines bekannten Telefonanlagen-Herstellers wurde vor zwei Wochen auch fälschlicherweise als "Wacatac.H!ml" erkannt (.exe):
Das wird einfach ein selbstentpackendes RAR Archiv sein.
Danke für die Nachricht! Ich hatte am Wochenende das Problem, dass ich den Acrobat Reader auf Win11 nicht installieren konnte. Der Devender "erkannte" immer die genannte "Bedrohung". Unter Win10 lief die Installation wunderbar.
Du hast ds Rätsel gelöst! ;-)
Danke für den Hinweis, ich hatte diese irritierende Meldung letzte Woche bei einem von unserem Entwickler erstellten Build (.exe) und war entsprechend verwirrt. :)
Also ich hatte am Freitag, also den 24. März, unter Win10 22H2 ebenso eine Alarmierung bezüglich "Wacatac.H!ml" bei einer rar-Datei.
Heute, nach dem Lesen des Artikels, testweise die gleiche Datei heruntergeladen und entpackt und habe heute keine Meldung vom Defender erhalten.
Daher muss es wohl auch bei Win10 und nicht nur Win11 einen Fehler beim Defender gegeben haben.
Aktuelle Daten zum Defender:
Antimalware-Clientversion: 4.18.2302.7
Modulversion: 1.1.20100.6
Antiviren-Version: 1.385.1217.0
Antispyware-Version: 1.385.1217.0
Mir noch bekannte Daten vom Freitag zum Defender:
Antimalware-Clientversion: 4.18.2302.7
Modulversion: 1.1.20100.6
Antiviren-Version: 1.385.987.0 oder 1.385.883.0
Antispyware-Version: 1.385.987.0 oder 1.385.883.0
Besteht die Möglichkeit den Text der Warung im Wortlaut wiederzugeben? Dann kann Google interessierte besser hier her führen.
H2testw ist das uralte USB Stick Test- Programm von der CT.
Es schreibt definierte Pseudo Zufallszahlen in bis zu
1GB große Files und prüft dann ob alles gespeichert wurde.
Das Programm und erst Recht die Files sind völlig harmlos.
wie kann der Defender darin eine Gefahr erkennen?
ich vermute mal das das nix mit rar zutun hat.
>>> wie kann der Defender darin eine Gefahr erkennen?
Weil es Datenträger-Devices zum "Schreiben" öffnet und dann mit Zahlen füllt? Was anderes machen Schädlinge zuweilen auch nicht. Das so was den Virenscanner triggert ist erst mal verständlich.
h2testw legt erst Dateien an, bis der Datenträger voll ist.
Dann liest er diese Dateien und prüft ob sie korrekt gespeichert worden sind.
Es schreibt nie wieder solange die Dateien schon vorhanden sind.
Der Defender spricht auf einen bestimmten Inhalt der Dateien an.
Es gab mal ein Problem mit UPX komprimierten Datei.
Manch Viren nutzten diesen exe Kompressor.
so wurden eine zeitlang auch harmlose UPX Programme als gefährlich gemeldet.
Aber so langsam sollte MS das falsche Pattern entfernt haben…
Wer den Defender dauerhaft deaktivieren möchte:
https://www.sordum.org/9480/defender-control-v2-1/
Hinweise:
1. Hierfür muss vorerst der Defender + Manipulations-Schutz manuell in den Einstellungen deaktiviert werden.
2. Sollte man nur tun, wenn man einen Thirdparty AntiVirus einsetzt und weis was man tut.
Nutzt du Third Party Schutzprogramme wird der Defender doch automatisch deaktiviert … und löscht du die Third Party Software wieder, wird er wieder aktiviert. Ist die Bessere Lösung sonst steht du plötzlich mit heruntergelassen Hoosen da ;-P
Hallo in die Runde.
Hatte ich auch unter W10 / Egde mit eine definitiv sauberen RAR Datei. Der Download musste von mir explizit zugelassen werden. Bei mir schlummert der Defender da Bitdefender Antivirus im Einsatz ist
Ich hatte das Problem heute auch. Mehrfach wurden .rar Dateien entdeckt, die diese Trojaner haben sollten. Jetzt bin ich zum Glück etwas beruhigter.
Regelt sich das wohl automatisch? Also das sie merken, dass sie fälschlicherweise anspringen und das entsprechend korrigieren?
Ich hate dies letzte Woche mit einem 7z Archive mit einem aktuellen Windows 10 22H2. Virustotal und ein anderes aktuelles W10 fanden nichts auffälliges. Serverseitig war auch alles ok und die Prüfsumme der Datei ebenfalls gleich.
wer viel Zeit hat könnte ja mal mit den Files die hdtestw erzeugt sukzessive Approximation ausprobieren welche Byte Folge den Defender triggert.
Gibt es eigentlich Schadware/Gruppen die es bewusst auf die Erkennungsrate von Antivirenprogrammen abgesehen haben? Das man aktiv versucht diese zu beeinflussen, dass legitime Programme plötzlich als Schadware erkannt werden und auf der anderen Seiten dann versucht wird die Schadware z.B. mit irgendwelchen Bestanteilen von legitimen Programmen zu spicken? Sobald eine Antivirensoftware anfängt legitime Programme zu blocken, dann muss der Anbieter irgendwie reagieren.
Bei mir wars der "Trojaner" Wacatac.B!ml auf einem Windows 2022 Server.
Beanstandet wurde ein Zip Archiv einer Software eines Dienstplanherstellers.
Die Datei wurde vom Defender in die Quarantäne geschickt.
Win10 meldete kein Problem. Virustotal ebenfalls nicht.
Nach einem Update der Signaturen wurde die Datei nicht mehr beanstandet.
Ich hatte gestern dasselbe Problem bei Windows 10. Danke, jetzt bin ich schlauer. :D
rar ist auch kein industriestandard in dem sinne. frueher szene standard usw. seit 7z dateiformat und den ganzen 7z specs und sdk warum sollte man da noch proprietaeres rar zeug fahren?
Bei mir ist ein Microsoft eigenes Tool betroffen (Microsoft Ads Editor) auf Windows 10 Pro. Die Updates im nupkg Format brachen ständig mit einer Fehlermeldung bei 100% ab. Erst die Defender Meldung in Verbindung mit diesem Artikel hat mir gezeigt, woran es liegt.
Auch die neuesten Updates von heute haben an dem Fehlalarm nichts geändert.
Mir ist noch aufgefallen, dass ich nicht auf den ersten Blick eine Ausnahme nur für diese Datei erstellen konnte. Was ich für eine individuelle Ausnahme gehalten habe, hat sich als eine komplette Deaktivierung des Schutzes herausgestellt.
Ergänzung: das nupkg Format beruht auch auf ZIP. Es scheint sich also um ein Problem mit gepackten Dateien zu handeln.
Gestern Nachmittag hatte ich hier ebenfalls den vermeintlichen Schädling, in einer von mir erstellten und mit Passwort gesicherten ZIP-Datei.
System ist in dem Fall Windows 10 22H2.
Gleiches Phänomen für RAR Datei bei mir unter Windows 10 Pro 22H2 aufgetreten.
Bin ebenfalls betroffen!
Sodrum Defender Control lässt sich nicht mehr nutzen!
Sämtliche Anleitungen wie man Defender ausschaltet funktionieren nicht mehr!
Was tatsächlich schnell gehofen hat ist einen anderen Virenschutz zu installieren.