Windows 11: Defender meldet RAR-Archive als Trojaner "Wacatac.H!ml"

WindowsKleiner Hinweis für Windows 11-Nutzer, die mit RAR-Archiven für komprimierte Dateien arbeiten. Ein Benutzer hat sich gemeldet und darauf hingewiesen, dass solche Archive seit einigen Tagen vom Windows Defender fälschlich als Trojaner "Wacatac.H!ml" gemeldet werden. Die gleichen Dateien unter Windows 10 lösen dagegen keinen Defender-Alarm aus. Ich habe dann im Internet etwas recherchiert – es gibt seit Monaten immer mal wieder Meldungen zu diesem Thema.


Anzeige

Eine Nutzermeldung

Peter G. hat mich zum Sonntag per Mail über das Thema informiert, welches ihn bereits seit einigen Tage nervt. Bei ihm schlägt der Defender unter Windows 11 bei RAR-Archivdateien Alarm und meldet einen Trojaner "Wacatac.H!ml" als Fund.

Guten Tag Herr Born

Ich arbeite parallel mit Win 10 und Win 11 Computern.

Nur auf den Win 11 Computern, meldet Defender seit ein paar Tagen das er den Trojaner "Wacatac.H!ml" gefunden habe.

Wenn ich die gleiche Datei auf dem Win 10 Computer herunter lade, gibt es keinen Alarm.

Es sind nur Dateien des Types ".RAR" betroffen.

Das Ganze deutet bereits darauf hin, dass da der "Fund" möglicherweise nicht ganz koscher ist, denn Windows 11 beschwert sich, während der Defender unter Windows 10 still bleibt. Peter hat das Ganze auch auf administrator.de in diesem Thread eingestellt. Und im Trojaner-Board gibt es seit dem 25. März 2023 diesen Thread von Peter, wo er seine Log-Dateien aus Windows 11 Version 22H2 eingestellt hat. Es könnte natürlich sein, dass Peter sich aus eingefangen hat.

Funde im Internet mehren sich

Ich habe natürlich eine Recherche durchgeführt und Peter hat mir ebenfalls Links zu Fundstellen geschickt, die das Ganze als Fehlalarm erscheinen lassen. Eine erste Fundstelle habe ich aus dem Oktober 2022 bei Microsoft Answers im Forum gefunden. Dort geht es um Windows 10, wo der Windows Defender einen entsprechenden Fund meldet, während Drittanbieter-Antivirus-Lösungen nichts finden.

Eine weitere Fundstelle auf reddit.com, die Peter erwähnt, thematisiert das Tool Nougat 64 von BlueStacks, welches als mit dem Trojaner infiziert gemeldet wird. Von BlueStacks gibt es aber diesen reddit.com-Post, wo das Ganze als falscher Alarm bezeichnet wird. 

Eine zweite Fundstelle mit entsprechenden Hinweisen gibt es im flightsimulator.Forum im Thread Malware warning when installing mandatory update after sim reinstall, wo eine Datei vom Flugsimulator vom Defender als mit dem Trojaner "Wacatac.H!ml" befallen gemeldet wird, während die Datei auf virustotal.com keine Warnungen erzielt.

In elevenforum.com gibt es seit zwei Tagen diesen Thread, wo ein Defender-Alarm angesprochen wird, der verhindert, dass das Programm H2testw Dateien erzeugt und speichert. In diesem Fall deutet alles ebenfalls auf einen falschen Alarm hin, da fremde Virenscanner nichts finden.

Auf gutefrage.net findet sich dieser Thread, in dem sich ein Nutzer über eine entsprechende Fehlermeldung beim Packen eines Mincraft-Server-Ordners als ZIP-Archiv beschwert. Dort gibt es den Hinweis eines anderen Nutzers (ohne weitere Quellenangabe), dass der Fehler seit einigen Tagen auftrete und durch ein Defender Signatur-Update verursacht werde.


Anzeige

Unter diesem Gesichtspunkt gehe ich davon aus, dass der Defender durch ein Signatur-Update die Dateien fälschlich als Trojaner "Wacatac.H!ml" erkennt. Frage in die Runde, ob noch jemand die letzten Tage unter Windows 11 eine solche Meldung des Defender erhalten hat.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

31 Antworten zu Windows 11: Defender meldet RAR-Archive als Trojaner "Wacatac.H!ml"

  1. Anonymous sagt:

    Das Problem scheint nicht nur .rar Dateien zu betreffen. Die Software eines bekannten Telefonanlagen-Herstellers wurde vor zwei Wochen auch fälschlicherweise als "Wacatac.H!ml" erkannt (.exe):

  2. Qua_X sagt:

    Danke für die Nachricht! Ich hatte am Wochenende das Problem, dass ich den Acrobat Reader auf Win11 nicht installieren konnte. Der Devender "erkannte" immer die genannte "Bedrohung". Unter Win10 lief die Installation wunderbar.
    Du hast ds Rätsel gelöst! ;-)

  3. Anonymous sagt:

    Danke für den Hinweis, ich hatte diese irritierende Meldung letzte Woche bei einem von unserem Entwickler erstellten Build (.exe) und war entsprechend verwirrt. :)

  4. R. Schneider sagt:

    Also ich hatte am Freitag, also den 24. März, unter Win10 22H2 ebenso eine Alarmierung bezüglich "Wacatac.H!ml" bei einer rar-Datei.
    Heute, nach dem Lesen des Artikels, testweise die gleiche Datei heruntergeladen und entpackt und habe heute keine Meldung vom Defender erhalten.

    Daher muss es wohl auch bei Win10 und nicht nur Win11 einen Fehler beim Defender gegeben haben.

    Aktuelle Daten zum Defender:
    Antimalware-Clientversion: 4.18.2302.7
    Modulversion: 1.1.20100.6
    Antiviren-Version: 1.385.1217.0
    Antispyware-Version: 1.385.1217.0

    Mir noch bekannte Daten vom Freitag zum Defender:
    Antimalware-Clientversion: 4.18.2302.7
    Modulversion: 1.1.20100.6
    Antiviren-Version: 1.385.987.0 oder 1.385.883.0
    Antispyware-Version: 1.385.987.0 oder 1.385.883.0

  5. Paul sagt:

    Besteht die Möglichkeit den Text der Warung im Wortlaut wiederzugeben? Dann kann Google interessierte besser hier her führen.

  6. Paul sagt:

    H2testw ist das uralte USB Stick Test- Programm von der CT.
    Es schreibt definierte Pseudo Zufallszahlen in bis zu
    1GB große Files und prüft dann ob alles gespeichert wurde.
    Das Programm und erst Recht die Files sind völlig harmlos.

    wie kann der Defender darin eine Gefahr erkennen?
    ich vermute mal das das nix mit rar zutun hat.

    • Olli sagt:

      >>> wie kann der Defender darin eine Gefahr erkennen?

      Weil es Datenträger-Devices zum "Schreiben" öffnet und dann mit Zahlen füllt? Was anderes machen Schädlinge zuweilen auch nicht. Das so was den Virenscanner triggert ist erst mal verständlich.

      • Paul sagt:

        h2testw legt erst Dateien an, bis der Datenträger voll ist.
        Dann liest er diese Dateien und prüft ob sie korrekt gespeichert worden sind.
        Es schreibt nie wieder solange die Dateien schon vorhanden sind.
        Der Defender spricht auf einen bestimmten Inhalt der Dateien an.
        Es gab mal ein Problem mit UPX komprimierten Datei.
        Manch Viren nutzten diesen exe Kompressor.
        so wurden eine zeitlang auch harmlose UPX Programme als gefährlich gemeldet.
        Aber so langsam sollte MS das falsche Pattern entfernt haben…

  7. McAlex777 sagt:

    Wer den Defender dauerhaft deaktivieren möchte:
    https://www.sordum.org/9480/defender-control-v2-1/

    Hinweise:
    1. Hierfür muss vorerst der Defender + Manipulations-Schutz manuell in den Einstellungen deaktiviert werden.

    2. Sollte man nur tun, wenn man einen Thirdparty AntiVirus einsetzt und weis was man tut.

    • Luzifer sagt:

      Nutzt du Third Party Schutzprogramme wird der Defender doch automatisch deaktiviert … und löscht du die Third Party Software wieder, wird er wieder aktiviert. Ist die Bessere Lösung sonst steht du plötzlich mit heruntergelassen Hoosen da ;-P

  8. RogerB sagt:

    Hallo in die Runde.
    Hatte ich auch unter W10 / Egde mit eine definitiv sauberen RAR Datei. Der Download musste von mir explizit zugelassen werden. Bei mir schlummert der Defender da Bitdefender Antivirus im Einsatz ist

  9. bot sagt:

    Ich hatte das Problem heute auch. Mehrfach wurden .rar Dateien entdeckt, die diese Trojaner haben sollten. Jetzt bin ich zum Glück etwas beruhigter.

    Regelt sich das wohl automatisch? Also das sie merken, dass sie fälschlicherweise anspringen und das entsprechend korrigieren?

  10. Anonymous sagt:

    Ich hate dies letzte Woche mit einem 7z Archive mit einem aktuellen Windows 10 22H2. Virustotal und ein anderes aktuelles W10 fanden nichts auffälliges. Serverseitig war auch alles ok und die Prüfsumme der Datei ebenfalls gleich.

  11. Paul sagt:

    wer viel Zeit hat könnte ja mal mit den Files die hdtestw erzeugt sukzessive Approximation ausprobieren welche Byte Folge den Defender triggert.

  12. GüntherW sagt:

    Gibt es eigentlich Schadware/Gruppen die es bewusst auf die Erkennungsrate von Antivirenprogrammen abgesehen haben? Das man aktiv versucht diese zu beeinflussen, dass legitime Programme plötzlich als Schadware erkannt werden und auf der anderen Seiten dann versucht wird die Schadware z.B. mit irgendwelchen Bestanteilen von legitimen Programmen zu spicken? Sobald eine Antivirensoftware anfängt legitime Programme zu blocken, dann muss der Anbieter irgendwie reagieren.

  13. Tiedeman sagt:

    Bei mir wars der "Trojaner" Wacatac.B!ml auf einem Windows 2022 Server.
    Beanstandet wurde ein Zip Archiv einer Software eines Dienstplanherstellers.
    Die Datei wurde vom Defender in die Quarantäne geschickt.

    Win10 meldete kein Problem. Virustotal ebenfalls nicht.
    Nach einem Update der Signaturen wurde die Datei nicht mehr beanstandet.

  14. Martin sagt:

    Ich hatte gestern dasselbe Problem bei Windows 10. Danke, jetzt bin ich schlauer. :D

  15. wordpress noob sagt:

    rar ist auch kein industriestandard in dem sinne. frueher szene standard usw. seit 7z dateiformat und den ganzen 7z specs und sdk warum sollte man da noch proprietaeres rar zeug fahren?

  16. FriedeFreudeEierkuchen sagt:

    Bei mir ist ein Microsoft eigenes Tool betroffen (Microsoft Ads Editor) auf Windows 10 Pro. Die Updates im nupkg Format brachen ständig mit einer Fehlermeldung bei 100% ab. Erst die Defender Meldung in Verbindung mit diesem Artikel hat mir gezeigt, woran es liegt.
    Auch die neuesten Updates von heute haben an dem Fehlalarm nichts geändert.
    Mir ist noch aufgefallen, dass ich nicht auf den ersten Blick eine Ausnahme nur für diese Datei erstellen konnte. Was ich für eine individuelle Ausnahme gehalten habe, hat sich als eine komplette Deaktivierung des Schutzes herausgestellt.

  17. MicroschrottVerbockts sagt:

    Gestern Nachmittag hatte ich hier ebenfalls den vermeintlichen Schädling, in einer von mir erstellten und mit Passwort gesicherten ZIP-Datei.
    System ist in dem Fall Windows 10 22H2.

  18. bachus sagt:

    Gleiches Phänomen für RAR Datei bei mir unter Windows 10 Pro 22H2 aufgetreten.

  19. gsc sagt:

    Bin ebenfalls betroffen!
    Sodrum Defender Control lässt sich nicht mehr nutzen!
    Sämtliche Anleitungen wie man Defender ausschaltet funktionieren nicht mehr!
    Was tatsächlich schnell gehofen hat ist einen anderen Virenschutz zu installieren.

  20. TR sagt:

    Wir haben jetzt dasselbe Problem mit einer ISO-Datei zum Download. Wir haben mit fünf verschiedenen AV-Programmen die ISO-Datei und deren Inhalte untersucht. Was alle hier gemeldeten Dateien gemeinsam haben, ist dass sie heruntergeladen wurden und ein Archiv sind, vermutlich alle selbstentpackend oder wir bei uns mit einer start.exe versehen. Ich vermute deshalb eine generische Erkennung, die zu dem False Positive führt. Wenn man mit der rechten Maustaste auf die ISO klickt, steht dort ein Eintrag "Diese Datei stammt von einem anderen Computer. Der Zugriff wurde aus Sicherheitsgründen eventuell blockiert.". Wenn bei "Zulassen" einen Haken setzt, dann verschwindet das Problem. Was natürlich nur sinnvoll ist, wenn man sicher weiß, dass es kein Virenproblem ist.

  21. MattyXB sagt:

    Scheint nun erneut aufzutreten. Habe heute frisch wieder eine neue Datei als gleicher Virus erkannt, wo ich denke es ist eine Falschmeldung. Schade dachte Microsoft hätte das Problem gelöst. Warte vorsichtshalber mal ein paar Tage und versuche es erneut mit der Datei. Wenn Defender ein Update gemacht hat.

  22. Bernd sagt:

    Hier der Link zu einer RAR mit MP3-Files. Unter Win10 meldet der Defender den Trojan:Script/Wacatac.B!ml und lässt erst mal die RAR verschwinden. Everything hat sie dann wieder gefunden. Ich konnte die Datei auspacken ohne Probleme, es waren nur MP3 und JPG und TXT drin.
    Also: wer es ausprobieren will, kann es hier. Die MP3-Daten wieder löschen ist notwendig und Voraussetzung für Euer Tun.
    Ach ja, beinahe vergessen, der Link:
    https://www.imagenetz.de/YzWrP

  23. Anonymous sagt:

    Die letzte Version von WinRAR selbst (6.24, Stand 30.10.2023 von win-rar.com) wurde auf meinem System (Windows 11) auch als Wacatac erkannt.

    • Takato sagt:

      Bei mir hat es heute die vssvc.exe als wacatac erkannt und gelöscht, sodass der VSS Dienst nichtmehr funktioniert. Virustotal hat hat nicht angeschlagen und mein System ist jetzt Schrott, da der VSS Dienst weg ist.

  24. Andre Sokolew sagt:

    Ich erzeuge seit 1999 Setup-Dateien mit dem Tool "IExpress 2.0", das die Programmierung einer Setup-Datei enorm vereinfacht. Seit etwa einem Jahr (bis zum heutigen Tage) werden Dateien, die so verpackt wurden, vom Windows Defender als infiziert mit "Wacatac.B!ml" eingestuft, die neuen und auch die uralten Dateien, die verpackt wurden, als es diesen Trojaner noch gar nicht gab.
    Übrigens ist "IExpress 2.0" von Microsoft und liegt allen Windows-Versionen seit Windows 95 (??) bis Windows 11 in unveränderter Form bei.

  25. Alex sagt:

    Wir haben das selbe Problem aktuell mit einer selbst erstellten Iso unter Windows Server 2022.

Schreibe einen Kommentar zu bot Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.