AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Kleine Tool-EXE wird von Defender als Watac-Malware erkennt
Thema durchsuchen
Ansicht
Themen-Optionen

Kleine Tool-EXE wird von Defender als Watac-Malware erkennt

Ein Thema von AuronTLG · begonnen am 16. Okt 2023 · letzter Beitrag vom 18. Okt 2023
Antwort Antwort
AuronTLG

Registriert seit: 2. Mai 2018
Ort: Marburg
269 Beiträge
 
Delphi 12 Athens
 
#1

Kleine Tool-EXE wird von Defender als Watac-Malware erkennt

  Alt 16. Okt 2023, 15:26
Hallo,

ich habe das seltsame Problem, dass eine EXE von mir bei der Weitergabe als WACATAC erkannt wird.
Ich habe ein kleines Tool für ein Kundenproblem geschrieben, bei dem eine 4MB EXE herauskommt, habe das an einen Kollegen weitergegeben zum testen, der bekommt es aber partout nicht auf seinen PC drauf, da der Windows Defender das stur als Wacatac-Malware erkennt.
Ich übertrage häufig irgendwelche EXEn und das ist das erste Mal, dass ich so ein Problem habe.
Da ich nicht weiß, worauf genau die Heuristik anschlägt und ich im Delphi 11.3 Thread gesehen habe, dass andere das Problem auch noch hatten, wollte ich mal nachfragen, ob wer eine Lösung dafür hat, dass der Defender das nicht mehr Wacatac erkennt.
  Mit Zitat antworten Zitat
Benutzerbild von DeddyH
DeddyH

Registriert seit: 17. Sep 2006
Ort: Barchfeld
27.623 Beiträge
 
Delphi 12 Athens
 
#2

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt

  Alt 16. Okt 2023, 15:30
Die allermeisten AntiVir-Hersteller bieten eine Upload-Möglichkeit für eigene Programme an. Das entsprechende Programm wird dann dort untersucht und bei False Positive in die Whitelist aufgenommen, d.h. man muss anschließend nur noch das nächste oder übernächste Signatur-Update abwarten.
Detlef
"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen." (Albert Einstein)
Dieser Tag ist längst gekommen
  Mit Zitat antworten Zitat
AuronTLG

Registriert seit: 2. Mai 2018
Ort: Marburg
269 Beiträge
 
Delphi 12 Athens
 
#3

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt

  Alt 16. Okt 2023, 15:37
Das ist mir klar, nur geht es hierbei um ein winziges Hilfstool, welches dazu gedacht ist, kurzfristig ein bestimmtes Problem zu lösen, kein ordentliches veröffentlichtes Programm, und bis dato hatte ich noch nie ein solches Problem, selbst mit winzigen Hilfstools.
  Mit Zitat antworten Zitat
AuronTLG

Registriert seit: 2. Mai 2018
Ort: Marburg
269 Beiträge
 
Delphi 12 Athens
 
#4

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt

  Alt 16. Okt 2023, 16:04
Okay, habe gerade eine Lösung gefunden:
Ich hab für das Minitool jetzt auch mit Zertifikat und allem drum und dran eine Anwendungs-Store-Datei erzeugt und davon die EXE genommen, welche dann auch funktioniert.
Macht generell ja Sinn, war nur bisher für sowas noch nie nötig bei mir.
Vielleicht hatte ich einfach Pech mit der Defender-Heuristik.
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.062 Beiträge
 
Delphi 12 Athens
 
#5

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt

  Alt 16. Okt 2023, 17:12
und bei False Positive in die Whitelist aufgenommen
Oder besser die "ungünstige" Virensignatur wird repariert.

Bei mir hatte es vor vielen Jahren dann auch nur knapp 10 Minuten gedauert, von der Meldung bei Avira, bis es wieder ging. (aber ja, kann auch mal bis paar Tage dauern)
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Benutzerbild von dummzeuch
dummzeuch

Registriert seit: 11. Aug 2012
Ort: Essen
1.603 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#6

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt

  Alt 16. Okt 2023, 17:22
So am Rande bemerkt: Gerade rief mich ein Kollege an, weil eines unserer Programme vom Windows Defender als mit genau diesem Virus befallen gemeldet wurde. Dabei handelt es sich um ein mit Delphi 2007 geschriebenes durchaus größeres Programm.

Auf Virus Total erkennt ein mir bisher völlig unbekannter Virenscanner (angeblich der Marktführer in Vietnam) ebenfalls ein Virus, alle anderen 67 erkenne nichts.

Deshalb höchstwahrscheinlich ein false Possitive.
Thomas Mueller
  Mit Zitat antworten Zitat
jziersch

Registriert seit: 9. Okt 2003
Ort: München
251 Beiträge
 
Delphi 10.4 Sydney
 
#7

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt

  Alt 17. Okt 2023, 10:52
Ich habe mich auch mit solchen Meldungen herumgeschlagen - wie allgemein bekannt hilft eine Signatur.

Aber es gibt auch manchmal Probleme durch den Sandbox check. Hier wird die EXE in einer Sandbox gestartet und es wird dort automatisch auf jeden Knopf geklickt. Wenn dies zu einer Exception führt (z.b. FileNotFound) dann wird die erste rote Flagge gehisst. Man sollte also darauf achten, das EXEs keine Exceptions werfen, wenn sie ohne gültige Daten geladen werden. (Timer sind auch unbeliebt und hissen weiter Flaggen)
WPCubed GmbH
Komponenten für Delphi:
WPTools, wPDF, WPViewPDF
  Mit Zitat antworten Zitat
Benutzerbild von paule32.jk
paule32.jk

Registriert seit: 24. Sep 2022
Ort: Planet Erde
356 Beiträge
 
Delphi 11 Alexandria
 
#8

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt

  Alt 18. Okt 2023, 12:05
Hallo,

das Problem kann auftretten, wenn man Datei-Packer wie UPX32.EXE / UPX64.EXE
verwendet, um Dateien zwischen 50 bis 70 Prozent Ratio verkleinern kann.

Irgendwie scheint daruch dieses "freie, und harmlose" Programm der PE-Header
falsch geschrieben zu sein, weil eben solch ein Packer unterschiedliche
Signaturen schreibt, und Virenprogramme, die vormals auf WhiteList gesetzte
Programm-Version als "geändert" erkennt, und dann die Meldung feuert.

Wenn das Programm von Dir kommt, so kannst Du das Programm selbst auf Deine
WhiteList setzen, mit dem auf dem Kunden-PC installierten Anti-Virenprogramm.

Ich nutze AVAST, bei dem man ganze Verzeichniss, aber auch Dateien als "false
positive" setzen kann.
Was sich dann für ungünstig erweisen, wenn das Programm häufig genutzt wird,
und der PE-Header neu geschrieben wird.

Alle anderen Programme, die mit UPX oder anderen Datei-Packer geschnürrt worden,
würde ich erst garnicht auf dem Computer kopieren, und wenn, dann erstmal mit
einen Viewer betrachten, bevor das Programm ausgeführt wird.
Frag doch einfach
Alles was nicht programmiert werden kann, wird gelötet
  Mit Zitat antworten Zitat
Benutzerbild von Sinspin
Sinspin

Registriert seit: 15. Sep 2008
Ort: Dubai
677 Beiträge
 
Delphi 10.3 Rio
 
#9

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt

  Alt 18. Okt 2023, 15:48
Irgendwie scheint daruch dieses "freie, und harmlose" Programm der PE-Header falsch geschrieben zu sein, ...
Nö, das liegt einfach daran das die Technik die UPX da verwendet, sehr gerne von Virenprogrammierern verwendet wird um ihren Schadcode zu verstecken. Da kann UPX nix dazu.
Aber sowas wie UPX braucht Heutzutage auch keiner mehr. Datenträger sind rießig, Internet ist schnell, wer will da Heute noch ein paar Byte rauskitzeln und riskieren das es als Virus erkannt wird?
Stefan
Nur die Besten sterben jung
A constant is a constant until it change.
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:42 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz