Microsoft Defender löst bei Tor.exe Warnung vor "Trojan:Win32/Malgent!MTB" aus

Sicherheit (Pexels, allgemeine Nutzung)[English]Vor wenigen Stunden gab es beim Tor-Browser ein Sicherheitsupdate, mit dem eine Schwachstelle geschlossen wurde. Nun löst der Microsoft Defender in Form der Windows-Sicherheit beim Aufruf des Tor-Browsers einen Alarm aus und schiebt die Datei tor.exe in Quarantäne. Es wird vor einem "Trojan:Win32/Malgent!MTB" gewarnt.


Anzeige

Patrick hat mich per E-Mail auf diesen Sachverhalt aufmerksam gemacht (danke dafür) und schrieb "tor.exe" (Tor Browser) wird von Microsofts Windows-Sicherheit heute, 2023-09-30 als "Trojan:Win32/Malgent!MTB" erkannt. Er verwendet folgende Version:

Tor Browser 12.5.5
Dateiname: tor.exe (7.804.416 Bytes)
SHA256: 3807d96998a15aed25ec9a95c3183385c6c73f6dde811ef2452c30f5f7df2810

Defender alert for tor

Ich habe gleich mal meinen Tor-Installation unter Windows 10 überprüft und bekam in der Tat einen Alarm per Toast-Benachrichtigung (siehe oben) und in Windows-Sicherheit folgende Anzeige.


Anzeige

tor.exe: Defender warns about "Trojan:Win32/Malgent!MTB" aus

Patrick hat dann die Datei mal die Datei auf Virus Total hochgeladen und schreibt, dass aktuell 3 Virenscanner einen Trojaner erkennen. Als ich die betreffende virustotal-Seite aufgerufen habe, waren bereits vier Scanner, die anschlugen.

tor.exe: at virustotal

Der Stand der Windows-Virensignaturen beim Scan ist: 1.397.1801.0 und 1.397.1814.0 (2023-09-30 06:13)

Patrick hat sich dann nochmals den Download von www.torproject.org aus dem Archiv heruntergeladen und die PGP-Signaturen ebenfalls geprüft. Die Datei
"tor.exe" hat die die gleiche 256-Checksumme und die aktualisierten Virensignaturen ergeben immer noch die als "schwerwiegend" eingestufte Sicherheitsmeldung in Windows 10. Die Analyseseite bei Virus Total zur hochgeladenen Datei tor.exe heute immer wieder aktualisiert, schreibt Patrick.

Auch Blog-Leser Stefan hat sich eben per Mail gemeldet und schreibt:

Moin Günter,

gerade Update vom Tor Browser vorgenommen und der Windows Defender erkennt die Tor.exe als Trojaner und verschiebt diese in Quarantäne. Ich vermute einen False-Positive.

Er hat mir auch gleich die Fundstelle bei reddit.com mitgeliefert, wo ebenfalls ein betreffender Nutzerkommentar zu finden ist. Weitere Nutzer bestätigen diese Beobachtung. Heißt, dass eine Menge Leute aktuell kein Tor-Bundle betreiben können oder eine Ausnahme definieren müssen, falls es sich um eine False-Positive-Meldung handelt.

Es gibt noch einen zweiten reddit.com-Post zum Thema, wo jemand schrieb, dass der erneute Download und die Installation des Tor-Bundle bei ihm den Fehlalarm beendet habe. Mein Versuch, einen alten Installer von Tor erneut zu installieren, klappte zwar und der Tor startete wieder. Nach dem Auto-Update löst der Defender aber wieder einen Alarm aus und verschob die tor.exe in Quarantäne. Aktuell werde ich den Tor pausieren, bis der Sachverhalt geklärt ist.

Aussagen des Tor-Projekts

Auf den Webseiten des Tor-Projekts findet sich diese FAQ in der es heißt, dass einige Antivirenprogramme Warnungen vor Malware und/oder Sicherheitslücken anzeigen, wenn der Tor-Browser gestartet wird. Dort findet sich die Aussage: Wenn du den Tor-Browser von unserer Hauptseite heruntergeladen oder GetTor benutzt hast und ihn verifiziert hast, sind diese Warnungen falsch positiv und du musst dir keine Sorgen machen. Auf der FAQ-Seite gibt es dann auch den Hinweis, in diesem Fall die tor.exe und ggf. weitere Dateien als Ausnahmen in der Virusprüfung zu definieren.

Eine Erklärung für die plötzlichen Fehlalarme könnte die Einführung einer Proof-of-Work-Verteidigung (PoW) für Onion-Dienste sein, die Ende August 2023 eingeführt wurde (siehe auch diesen Kommentar von David im englischen Blog).

 


Anzeige

Dieser Beitrag wurde unter Virenschutz abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

35 Antworten zu Microsoft Defender löst bei Tor.exe Warnung vor "Trojan:Win32/Malgent!MTB" aus

  1. Bernd sagt:

    Dann diese exe mal online prüfen lassen. Virustotal oder Falcon…

  2. Windowsnutzer1969 sagt:

    Danke für die schnelle Bekanntgabe!
    Hatte die Meldung (unter ziemlichem Schreck) gerade im Moment auch vom Defender beim Aufruf des Tor-Browsers erhalten.

    Wird man wohl auf neue Signaturen beim Defender warten müssen …

    Bei mir schlägt allerdings aktuell nur 1 Scanner auf die .exe bei Virustotal an …

    Aktuelle Defender-Virensignatur: 1.397.1817.0 (von 14:24 Uhr)

    • Windowsnutzer1969 sagt:

      Das Problem ist bei mir mit der Defender-Virensignatur 1.397.1822.0 um 17:45 Uhr nun wieder behoben!

      Nach dem Update war allerdings ein Neustart nötig, da der Defender den (angeblich noch immer vorhandenen Schädling "Trojan:Win32/Malgent!MTB") "nicht vollständig entfernen konnte" … Nach dem Neustart startete der Tor-Browser dann wieder ohne Reklamation des Defenders und konnte auch sofort eine Verbindung herstellen. Ein anschließender Defender-Komplettscan des Systems (Win 11 Pro – 22/H2 – aktueller Patchstand) hat dann auch "keine aktuellen Bedrohungen gefunden".

      • Frank L. sagt:

        mit der Version 12.5.6 von Tor gibt es auch Probleme und ich habe auch die Signatur im Verdacht, bei der es übrigens auch am 01.10.2023 11:40 keine Änderung gab, das Problem besteht also unter Windows 10 22h2 Updatestand 01.10.2023 11:40 weiterhin.

        • Windowsnutzer1969 sagt:

          Ja, muss ich (leider) bestätigen! Bei mir heute auch wieder (!) alles wie gehabt! Aber warum konnte ich gestern Mittag zwischendurch ohne Probleme einige Zeit damit arbeiten??

          Vorhin hat der Defender, nach dem Start des Browsers, wieder sofort angeschlagen und die "Tor.exe" gefressen und in Quarantäne verschoben. Start des Browsers (Version 12.5.6) in diesem Zustand zwar ohne Probleme möglich, aber er kann keine Verbindung ins Netz aufbauen. Habe auch versucht Tor (mit der aktuellen "torbrowser-install-win64-12.5.6_ALL.exe") neu zu installieren. Hat aber zum gleichen Ergebnis geführt …

          In allen Kommentaren, die man so im Web findet, herrscht bisher große Ratlosigkeit … Lasse jetzt die "Tor.exe" erst mal in Quarantäne und warte ab, auch wenn ich nach wie vor davon ausgehe, dass es wohl ein falsch-positives Ergebnis ist – egal, ob der Fehler vom Defender herrührt, oder eben der Browser selbst dran schuld ist. Die Datei einfach im Defender freigeben, ohne dass man Genaueres weiß, macht mir doch irgendwie Magengrummeln … ;-) Auf jeden Fall alles mal wieder äußerst nervig und lebenszeitraubend …!

    • Oliver L. sagt:

      Die aktuell angebotene torbrowser-install-win64-12.5.6_ALL.exe wird nur noch von Acronis bemeckert bei VirusTotal. ESET Endpoint Security hält es für unbedenklich. Werde es mal in einer Windows 11 Sandbox installieren.

  3. Bolko sagt:

    Zitat:
    "dass der erneute Download und die Installation des Tor-Bundle bei ihm den Fehlalarm beendet habe."

    Das ist aber nicht die eigentliche Lösung.
    Der User auf Reddit schrieb, dass er bei der erneuten Installation eine Meldung des Defender bekam, er diese Meldung öffnete und dann auf "Allow" (Erlauben) klickte, damit eine Ausnahme hinzugefügt wurde.
    Würde man diese Meldung einfach wegklicken, dann würde der Defender erneut den TOR blockieren und in die Quarantäne verschieben.

    Falsch-Positiv, wie schon mehrfach vorgekommen:
    "Tor Browser and antivirus false positive warnings"
    support[.]torproject[.]org/tbb/antivirus-false-positive

    Im Übrigen ist es eine schlechte Idee, den TOR auf einem Windows 10 oder 11 zu benutzen, denn eventuell kann die Windows-Telemetrie den User auch innerhalb TOR tracken.
    Daher sollte man besser den TOR innerhalb eines Linux benutzen, am besten innerhalb Tails.

    • Brotwurst sagt:

      Ach bitte was für ein Quark. Du hast schon verstanden wie TOR funktioniert? Nebenbei Linux ist auch nicht gleich Linux. Auch da gibt es distros die ständig nachhause telefonieren.

      • Günter Born sagt:

        Ich möchte dich beruhigen und ad hoc etwas für deinen Seelenfrieden tun. Gehe mal davon aus, dass Bolko schon verstanden hat, wie TOR funktioniert und auch weiß, was Linux ist. Die Leute, die sich hier im Blog über Telemetrie Gedanken machen und zu Linux-Distributionen wechseln, werden schon in der Lage sein, da zu differenzieren.

        Dein Eingangssatz fördert übrigens nicht die Bereitschaft, den Post ernst zu nehmen. Mag bei heise funktionieren, passt hier im Blog aber eher weniger. Nur als freundliche Anmerkung – aber deine "Meinung" bleibt dir natürlich unbenommen.

        • Luzifer sagt:

          Naja wer meint TOR schütze ihm vor Verfolgung, hat es durchaus grundsätzlich nicht verstanden… TOR legt die Messlatte und den Aufwand höher, mehr aber auch nicht.
          Das die Dienste mit den Drei Buchstaben da ihre Finger mit drinn haben ist jetzt auch keine Neue Erkenntnis!

          Es kann schon grundsätzlich keine Annonymität im Netz geben, sonst würden die Daten die dein Rechner anfordert den Weg nicht mehr zu dir finden! Man kann es nur sehr aufwendig machen sowas zurückzuverfolgen, aber mit KI fallen auch da die Grenzen.

          Anonymität im Netz gibt es nicht!
          Es macht natürlich einen Unterschie ob Tante Erna von nebenan das einfach so mitlesen kann oder ob es die Rechenkapazität von Fort Maerde in Maryland benötigt. Aber seit man sich Rechenkapazität einfach mal eben bei amazon und Co. mieten kann … ;-P

          Und man hört auch hier immer wieder: Mit Linux wär das nicht passiert, ja ne der aktulle Gau oh weh ist nen Open Source Lib.

          Open Source und Linux ist auch nur von Menschenhand geschaffene Software mit allen Vor und Nachteilen.

          Wenn Zwei ein Geheimnis teilen ist es bereits einer zu viel!

    • Ralf Lindemann sagt:

      Bzgl. "Im Übrigen ist es eine schlechte Idee, den TOR auf einem Windows 10 oder 11 zu benutzen, denn eventuell kann die Windows-Telemetrie den User auch innerhalb TOR tracken."

      Ob das eine gute oder schlechte Idee ist, TOR mit einem Windows-Rechner zu nutzen, ist ein berechtigter Hinweis. Am Ende hängt es an der Frage, was man inhaltlich über TOR abwickeln oder recherchieren will. Ist das inhaltlich wirklich brisant, ist ein Windows-Rechner vermutlich keine gute Wahl; würde ich selbst Windows 7 einschließen. In solchen Fälle ist man mit Tails tatsächlich besser beraten. Das Gute für Windows-Nutzer: Von einer DVD oder einem USB-Stick lässt sich auch ein Windows-Rechner alternativ mit Tails booten …

  4. Karl sagt:

    Ein u.U. nicht mehr deaktivierbares AV Programm, dessen Signaturen nicht durch eine internationale Genossenschaft verwaltet werden, sperrt Instanzen bestimmter Programme? Also das gleiche Programm, dass dich daran hindern kann, vermeintlich FalsePositives auszunehmen. Ooopsi. Könnte man damit was anstellen?

    • Anonymous sagt:

      MS-Fanboys finden das toll. Andere wenige hier sehen die Gefahr bzw. Strategie hinter solchen Salami-Scheibchen. Der Masse ist alles egal.

      • Brotwurst sagt:

        Die MS Hasser die einfach nur Stuss von sich geben müssen, und das ständig.
        Deaktivierbar ist er, auch auf Windows11. Die false positives kannst du auch sagen "Ne passt schon, nicht mehr meckern, danke"
        Sind wir also wieder mal bei dem Fall dass Leute einfach nur gerne Quark reden.

        • Günter Born sagt:

          Nun ja, ich würde es eher so interpretieren, dass der Vorposter es erkannt hat.

          Klar gibt es irgendwo immer einen Weg, den Defender zu deaktivieren (machen AV-Anbieter) – und einen Weg für Microsoft, den Defender per Update wieder zu aktivieren. Wo der Vorposter "Stuss" von sich gibt, erschließt sich für mich nicht. So viel zu deinem "Quark".

          Glücklicherweise leben wir in einem freien Land, wo jeder das OS verwenden kann, welches ihm beliebt – und wo er auch eigene Meinungen äußern kann. Nur deshalb habe ich den Kommentar von dir freigeschaltet.

    • Micha sagt:

      Fehlalarme gibt es bei jeder Antivieren Software immer mal wieder. Andererseits sind manche Programme die damals noch "ungefährlich" waren heute Potentiell unerwünschte Software oder gar Trojaner.

      Bei alter Software muss man halt dem AV Software Anbieter eine gesunde menge Skepsis entgegenbringen.

      Bei neu Heruntergeladenen Objekten würde ich erst mal Vorsicht walten lassen und das Objekt mit einer alternativen AV Software überprüfen. z.B. bei Virus Total oder mit dem Windows Defender.

      Momentan ist bei mir Kaspersky Internet Security installiert.

  5. Norddeutsch sagt:

    Bei Verwendung von ClamAV kommt dies auch bei Installern häufiger vor.
    So meldet ClamAV unter Version 103.x FOUND auf "Win.Trojan.Spora-7724442-0" für:
    torbrowser-install-12.5.4_ALL.exe & -win64-12.5.4_ALL.exe
    torbrowser-install-12.5.5_ALL.exe & -win64-12.5.5_ALL.exe
    torbrowser-install-12.5.6_ALL.exe & -win64-12.5.6_ALL.exe

    Unter Linux will tor 12.5.6 (FF 102.15.1 + backports) mit MAC-Sicherheitstools wie apparmor neuerdings ein read auf /dev/urandom.
    Hatte ich vorher nicht im Log, seh ich unkritisch.

    • Pau1 sagt:

      liefert clamAV inzwischen auch mal non false positives?
      Er ist doch berüchtitgt fur seine miserable Qualität.
      Wer setzt so etwas denn ernsthaft ein?
      ClamAV ist ein nutzloses Spielzeug, oder vielleicht "Forschungs Projekt"…

      • Anonymous sagt:

        Linux, BYOD, "Viruschecker muss installiert sein"-Policy. Schon hat man einen Grund für Clam, und büddeschön, keiner kann einem einen Vorwurf machen. Hatte ich auch während Coronazeiten so – und nach Erhalt von firmeneigener Hardware Clam gleich wieder von eigenen Rechner runtergeschmissen. Wobei ich sagen muss, dass sogar EICAR nicht gemeldet wurde, Clam war immer schön leise ;)

  6. Harald sagt:

    Guten Tag,
    bei mir hat am 30.09. der win defender eine Virenwarnung angezeigt,

    Trojan:Win32/Wacatac.B!ml Schwerwiegend
    30.09.2023 09:17 (Aktiv)

    und konnte damit ein Programm nicht installieren.

    Daraufhin habe ich den win defender deaktiviert und den bitdefender installiert, alles funktioniert wieder wie es soll.
    Scheinbar hat der windefender dzt. gröbere Probleme,
    viele Grüße
    Harald

  7. Ralf Lindemann sagt:

    Ich habe hier noch zwei ältere Tor-Installer rumliegen: Tor Browser 12.0.2 (Jan. 2023) & Tor Browser 12.5.1 (Juli 2023). Entpackt und vom Defender prüfen lassen. In beiden Fällen will der Defender in tor.exe den besagten Torjaner gefunden haben. Wenn sich der Befund tatsächlich bestätigen würde (Konjunktiv), dann hätten alle Tor-Nutzer den Trojaner schon sehr lange auf ihrem Rechner.

    Bzgl. Virustotal: Stimmt, neben Microsoft detektieren noch drei weitere AV-Produkte (Bkav Pro, Ikarus und Rising). Gridinsoft, wie noch oben im Screenshot, detektiert jetzt (01.10.23, 10:15) nicht mehr. Wer Virustotal häufiger nutzt, weiß: Diese drei anderen Kandidaten detektieren häufig und gerne; Zweifel an der Stichhaltigkeit dieses Befundes sind nicht ganz von der Hand zu weisen. Bin mal gespannt, wie die Geschichte ausgeht.

  8. KD sagt:

    Der windows defender neigt im Moment dazu zu überreagieren. kleines Spiel mit unity endlich fertig bekommen, mit 7zip gepackt weil ich es einem Freund schicken wollte, zack soll ein trojaner drin sein. Das ganze als zip gepackt, alles gut.
    false positiv even.

  9. Oliver L. sagt:

    Die aktuell angebotene torbrowser-install-win64-12.5.6_ALL.exe wird nur noch von Acronis bemeckert bei VirusTotal. ESET Endpoint Security hält es für unbedenklich. Werde es mal in einer Windows 11 Sandbox installieren.

    • Walter sagt:

      Nein auch diese Version wird als Trojan:Win32/Malgent!MTB

      • Oliver L. sagt:

        Stimmt. Die Sandbox hat ja keinen Defender, aber meine Windows 10 Test-VM. Und dort wurde erst nach Installation, Tor-Start und dann Verbindungsversuch dieser Trojaner erkannt.
        Wer weiß…
        Ich habe es mal als Sample zur Analyse nach ESET übermittelt.

        • Windowsnutzer1969 sagt:

          Genau SO läuft es ab, stimmt! "Installation" >> "Browserstart" >> "Verbindungsversuch" >> dann schlägt der Defender an. Der "Übeltäter" – lt. Defender – ist dann die "tor.exe" (findet man im Ordner unter: Tor Browser/Browser/TorBrowser/Tor/tor.exe – natürlich nur dann, wenn sie noch NICHT in Quarantäne ist) die er dann sofort in Quarantäne verschiebt. Also die "install.exe" ist nur sekundär betroffen. Macht das Ganze natürlich keinen Deut besser …

  10. Walter sagt:

    Auch nach Bereininung und Install von torbrowser-install-win64-12.5.6_ALL.exe wird bei mir vom Defender Trojan:Win32/Malgent!MTB erkannt

  11. Ricardo sagt:

    Hatte das gleiche Problem Win10Pro64bit und Tor12.5.6 64 bit.
    Freitag Abend hatte sich TOR auf 12.5.6 aktualisiert. (bekam die Info und hab es es manuell angestoßen) TOR lief den ganzen Abend ohne Probleme. Am Samstag kam dann ein update für den Defender. Als ich danach TOR wieder starten wollte, kam das Defender Fenster und die TOR.exe Datei wurde in Quarantäne gestellt. Sehr wahrscheinlich "false positive", denn Malwarebytes Premium auf dem selben Rechner findet auch nach 5 weiteren Update nichts. Habe versucht die 64bit Tor Version neu zu installieren, aber immer wieder der gleiche Problem (auch nach mehreren Defenderaktualisierungen). Dann hab ich im TOR Forum gelesen, dass die 32bit Version keine Probleme macht. Heruntergeladen und einfach in den bestehenden TOR Ordner (ist bei mir nicht auf dem Desktop, sondern einer eigenen Partition) d'rüberinstalliert. TOR gestartet und diesmal kein wauwau vom Defender.
    TOR verbindet sich und läuft völlig regulär wie sonst auch immer.
    Damit kann ich bis zum nächsten Update, mit dem die Sache hoffentlich bereinigt wird, gut leben. P.S. Mich würde es schwer wundern, wenn Malwarebytes oder die andere AVSoftware bei Virustotal einen Trojaner nicht erkennen würden, wenn er bereits 2-3 Tage auf Systemen wäre. Aber dennoch habe TOR.exe nicht im Defender freigegeben, denn es gibt ja nichts, was es nicht gibt. Aktuell scheinen wohl 5 AVs bei Virustotal anzuschlagen … nun auch Google. Alle anderen, die als zuverlässig eingestuft werden, jedoch nicht und die Moderatoren bei Virustotal scheinen auch der Ansicht zu sein, dass es "false positive" ist.

    • Ricardo sagt:

      Am späteren Abend hat Defender hier 2 größere Updates erhalten, die jeweils die Freigabe in der Benutzerkontensteuerung verlangt haben. Eben nochmals auf Virustotal nachgesehen und auch die 64bit Version von TOR.exe12.5.6 scheint jetzt nicht mehr von Microsoft als Malware eingestuft zu werden.

  12. Harald.L sagt:

    Hatte die tor.exe gleich am Veröffentlichungstag von 12.5.6 bei Microsoft zur Analyse hochgeladen, die Auswertung später hieß "Malware detected".

    https://www.microsoft.com/en-us/wdsi/filesubmission

    Bis gestern. Jetzt gerade die "Submission" nochmal aufgerufen (also nicht neu hochgeladen sondern den alten Fall) und heute heißt es "No malware detected" bei der Datei.

  13. Windowsnutzer1969 sagt:

    Scheint nun endgültig behoben zu sein, lt.:

    https[:]//forum.torproject.org/t/torbrowser-12-5-6-no-longer-flagged-by-windows-defender/9522

    Zitat aus dem obersten "angepinnten" Beitrag:
    "TorBrowser 12.5.6 no longer flagged by Windows Defender":

    *Zitatanfang*
    "If you are a Windows user and a TorBrowser user, you are probably not without knowing that the latest version of TorBrowser, or more specifically the tor.exe it contains, was flagged as a trojan by Windows Defender.

    We finally received a reply from Microsoft:

    At this time, the submitted files do not meet our criteria for malware or potentially unwanted applications. The detection has been removed. Please follow the steps below to clear cached detections and obtain the latest malware definitions.

    Open command prompt as administrator and change directory to c:\Program Files\Windows Defender
    Run "MpCmdRun.exe -removedefinitions -dynamicsignatures"
    Run "MpCmdRun.exe -SignatureUpdate"

    Alternatively, the latest definition is available for download here: Microsoft Defender Antivirus security intelligence and product updates | Microsoft Learn 233

    Thank you for contacting Microsoft.

    With the latest signature database (1.397.1910.0), tor.exe is no longer considered a trojan by Windows Defender. If your TorBrowser stopped working during this weekend, make sure your Windows Defender is up to date, and either unquarantine tor.exe, or reinstall TorBrowser by downloading it from Tor Project website 179, and remember to check the signature!"
    *Zitatende*

    Nach dem Zurückverschieben aus der Quarantäne funktioniert der Tor-Browser bei mir nun wieder und bei Virustotal wird die "tor.exe" nun auch nicht mehr von MS als schädlich eingeordnet! Hoffen wir mal, dass es nun so bleibt …

  14. Uwe sagt:

    W10/11 nach neuesten Signaturupdates und Update Tor alles OK. Stand 02-10-2023 22:30 Uhr

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.