Kleine Tool-EXE wird von Defender als Watac-Malware erkennt
 

Hallo,

ich habe das seltsame Problem, dass eine EXE von mir bei der Weitergabe als WACATAC erkannt wird.
Ich habe ein kleines Tool für ein Kundenproblem geschrieben, bei dem eine 4MB EXE herauskommt, habe das an einen Kollegen weitergegeben zum testen, der bekommt es aber partout nicht auf seinen PC drauf, da der Windows Defender das stur als Wacatac-Malware erkennt.
Ich übertrage häufig irgendwelche EXEn und das ist das erste Mal, dass ich so ein Problem habe.
Da ich nicht weiß, worauf genau die Heuristik anschlägt und ich im Delphi 11.3 Thread gesehen habe, dass andere das Problem auch noch hatten, wollte ich mal nachfragen, ob wer eine Lösung dafür hat, dass der Defender das nicht mehr Wacatac erkennt.

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt
 

Die allermeisten AntiVir-Hersteller bieten eine Upload-Möglichkeit für eigene Programme an. Das entsprechende Programm wird dann dort untersucht und bei False Positive in die Whitelist aufgenommen, d.h. man muss anschließend nur noch das nächste oder übernächste Signatur-Update abwarten.

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt
 

Das ist mir klar, nur geht es hierbei um ein winziges Hilfstool, welches dazu gedacht ist, kurzfristig ein bestimmtes Problem zu lösen, kein ordentliches veröffentlichtes Programm, und bis dato hatte ich noch nie ein solches Problem, selbst mit winzigen Hilfstools.

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt
 

Okay, habe gerade eine Lösung gefunden:
Ich hab für das Minitool jetzt auch mit Zertifikat und allem drum und dran eine Anwendungs-Store-Datei erzeugt und davon die EXE genommen, welche dann auch funktioniert.
Macht generell ja Sinn, war nur bisher für sowas noch nie nötig bei mir.
Vielleicht hatte ich einfach Pech mit der Defender-Heuristik.

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt
 

Oder besser die "ungünstige" Virensignatur wird repariert.

Bei mir hatte es vor vielen Jahren dann auch nur knapp 10 Minuten gedauert, von der Meldung bei Avira, bis es wieder ging. (aber ja, kann auch mal bis paar Tage dauern)

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt
 

So am Rande bemerkt: Gerade rief mich ein Kollege an, weil eines unserer Programme vom Windows Defender als mit genau diesem Virus befallen gemeldet wurde. Dabei handelt es sich um ein mit Delphi 2007 geschriebenes durchaus größeres Programm.

Auf Virus Total erkennt ein mir bisher völlig unbekannter Virenscanner (angeblich der Marktführer in Vietnam) ebenfalls ein Virus, alle anderen 67 erkenne nichts.

Deshalb höchstwahrscheinlich ein false Possitive.

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt
 

Ich habe mich auch mit solchen Meldungen herumgeschlagen - wie allgemein bekannt hilft eine Signatur.

Aber es gibt auch manchmal Probleme durch den Sandbox check. Hier wird die EXE in einer Sandbox gestartet und es wird dort automatisch auf jeden Knopf geklickt. Wenn dies zu einer Exception führt (z.b. FileNotFound) dann wird die erste rote Flagge gehisst. Man sollte also darauf achten, das EXEs keine Exceptions werfen, wenn sie ohne gültige Daten geladen werden. (Timer sind auch unbeliebt und hissen weiter Flaggen)

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt
 

Hallo,

das Problem kann auftretten, wenn man Datei-Packer wie UPX32.EXE / UPX64.EXE
verwendet, um Dateien zwischen 50 bis 70 Prozent Ratio verkleinern kann.

Irgendwie scheint daruch dieses "freie, und harmlose" Programm der PE-Header
falsch geschrieben zu sein, weil eben solch ein Packer unterschiedliche
Signaturen schreibt, und Virenprogramme, die vormals auf WhiteList gesetzte
Programm-Version als "geändert" erkennt, und dann die Meldung feuert.

Wenn das Programm von Dir kommt, so kannst Du das Programm selbst auf Deine
WhiteList setzen, mit dem auf dem Kunden-PC installierten Anti-Virenprogramm.

Ich nutze AVAST, bei dem man ganze Verzeichniss, aber auch Dateien als "false
positive" setzen kann.
Was sich dann für ungünstig erweisen, wenn das Programm häufig genutzt wird,
und der PE-Header neu geschrieben wird.

Alle anderen Programme, die mit UPX oder anderen Datei-Packer geschnürrt worden,
würde ich erst garnicht auf dem Computer kopieren, und wenn, dann erstmal mit
einen Viewer betrachten, bevor das Programm ausgeführt wird.

AW: Kleine Tool-EXE wird von Defender als Watac-Malware erkennt
 

Nö, das liegt einfach daran das die Technik die UPX da verwendet, sehr gerne von Virenprogrammierern verwendet wird um ihren Schadcode zu verstecken. Da kann UPX nix dazu.
Aber sowas wie UPX braucht Heutzutage auch keiner mehr. Datenträger sind rießig, Internet ist schnell, wer will da Heute noch ein paar Byte rauskitzeln und riskieren das es als Virus erkannt wird?