5
Windows Defender findet Virus in Textdateien?
Hallo!
Ein Kollege fragte mich um Rat, weil er ein Problem mit einer zip-Datei hatte.
Es handelte sich um 17K großes ZIP-Archiv mit vier log-Dateien (ASCII) als Inhalt, das er von einem automatischen Prozess jede Nacht zugesendet bekommt.
Wenn er dieses ZIP-Archiv auf dem Rechner speichert wird es von Windows Defender (Windows 10) sofort in Quarantäne gesteckt, weil eine Bedrohung im Skript gefunden wird (Siehe Screenshot).
Auf zwei anderen Rechnern (ebenfalls Windows 10 mit Windows Defender) reagiert der Defender überhaupt nicht.
Ich habe die Datei bei virustotal.com gescannt - kein Scanner dort erkennt irgendeine Gefahr. Ich weiss auch nicht, wie in einem zip-Archiv, das nur Textdateien enthält, ein Trojaner bzw. ein Trojanerdownloader stecken soll.
Auf dem "betroffenen" Rechner haben wir einen vollen Scan vom Windows Defender laufen lassen - es wurde nichts gefunden. Für heute abend planen wir, mal die aktuelle desinfec't laufen zu lassen.
ich gehe ehrlichgesagt davon aus, dass der Defender hier einfach irgendein Problem hat.
Hat irgendjemand noch eine Idee, was da los sein könnte?
Ein Kollege fragte mich um Rat, weil er ein Problem mit einer zip-Datei hatte.
Es handelte sich um 17K großes ZIP-Archiv mit vier log-Dateien (ASCII) als Inhalt, das er von einem automatischen Prozess jede Nacht zugesendet bekommt.
Wenn er dieses ZIP-Archiv auf dem Rechner speichert wird es von Windows Defender (Windows 10) sofort in Quarantäne gesteckt, weil eine Bedrohung im Skript gefunden wird (Siehe Screenshot).
Auf zwei anderen Rechnern (ebenfalls Windows 10 mit Windows Defender) reagiert der Defender überhaupt nicht.
Ich habe die Datei bei virustotal.com gescannt - kein Scanner dort erkennt irgendeine Gefahr. Ich weiss auch nicht, wie in einem zip-Archiv, das nur Textdateien enthält, ein Trojaner bzw. ein Trojanerdownloader stecken soll.
Auf dem "betroffenen" Rechner haben wir einen vollen Scan vom Windows Defender laufen lassen - es wurde nichts gefunden. Für heute abend planen wir, mal die aktuelle desinfec't laufen zu lassen.
ich gehe ehrlichgesagt davon aus, dass der Defender hier einfach irgendein Problem hat.
Hat irgendjemand noch eine Idee, was da los sein könnte?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 32401940815
Url: https://administrator.de/contentid/32401940815
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Hast du mal den Dateihash angezeigt und explizit nach diesem bei VT gesucht?
Ansonsten sind Zip-Dateien in Mails normalerweise unerwünscht und eventuell denkt das auch der Defender.
Hast du mal den Dateihash angezeigt und explizit nach diesem bei VT gesucht?
Ansonsten sind Zip-Dateien in Mails normalerweise unerwünscht und eventuell denkt das auch der Defender.
1
oder sind die PW geschützt ? dann liegts daran... Viren mögen es per PW geschützte Zips als Anhang sich einschleusen zu lassen... weil VIrenscanner können inhalte PW geschützter Zips nicht scannen, daher pauschal von KI als Pöse eingestufft 
Anmerkung, das mit der KI war ironisch gemeint....
Anmerkung, das mit der KI war ironisch gemeint....
1
Hi,
das liegt daran, dass Antivirus immer weniger mit seriöser Gefahrenabwehr zu tun hat. Und ist bei weitem kein Einzelfall: Hello World in Go erkennt die Branche auch als Malware. Nicht, weil sie darin den begründeten Verdacht gefunden haben. Sondern, weil es relativ wenig verbreitet ist 😂
So weit sind wir in dem Gewerbe gekommen. Zeigt mal wieder sehr eindrucksvoll, wie kaputt das Konzept Antivirus ist. Darauf willst du dich verlassen? Ich sehe das nicht als Teil der Lösung und würde keinem AV hinterher laufen, was deren amok laufende Heuristik sich dieses mal aus den Fingern gesaugt hat.
Die ct war selbst von nicht nachvollziehbaren Antivirusmeldungen in ihrem eigenen Notfall-System betroffen. Sie haben versucht das zu klären, Spoiler: War genau so eine Lachnummer, wie die sonstige Performance dieser Branche. Teils hatten die Meldeseiten abgelaufene HTTPS-Zertifikate. Am Ende blieb ihnen nur der Hack, alles in ein Passwort geschütztes ZIP zu packen. Wohlgemerkt die einflussreichste Computerzeitschrift, die hier verzweifelt ist und ähnliche Tricks nutzen muss, wie die bösen Kriminellen. Nicht ein 0815 Entwickler, der das seit gestern macht.
das liegt daran, dass Antivirus immer weniger mit seriöser Gefahrenabwehr zu tun hat. Und ist bei weitem kein Einzelfall: Hello World in Go erkennt die Branche auch als Malware. Nicht, weil sie darin den begründeten Verdacht gefunden haben. Sondern, weil es relativ wenig verbreitet ist 😂
So weit sind wir in dem Gewerbe gekommen. Zeigt mal wieder sehr eindrucksvoll, wie kaputt das Konzept Antivirus ist. Darauf willst du dich verlassen? Ich sehe das nicht als Teil der Lösung und würde keinem AV hinterher laufen, was deren amok laufende Heuristik sich dieses mal aus den Fingern gesaugt hat.
Die ct war selbst von nicht nachvollziehbaren Antivirusmeldungen in ihrem eigenen Notfall-System betroffen. Sie haben versucht das zu klären, Spoiler: War genau so eine Lachnummer, wie die sonstige Performance dieser Branche. Teils hatten die Meldeseiten abgelaufene HTTPS-Zertifikate. Am Ende blieb ihnen nur der Hack, alles in ein Passwort geschütztes ZIP zu packen. Wohlgemerkt die einflussreichste Computerzeitschrift, die hier verzweifelt ist und ähnliche Tricks nutzen muss, wie die bösen Kriminellen. Nicht ein 0815 Entwickler, der das seit gestern macht.
1
Ich weiss auch nicht, wie in einem zip-Archiv, das nur Textdateien enthält, ein Trojaner bzw. ein Trojanerdownloader stecken soll.
Frage meinerseits: wäre es vielleicht denkbar, dass der Defender in einer der Textdateien einen Term entdeckt hat, der als Bestandteil eines Konsolen- / Powershell o.ä -scripts verstanden werden könnte?
1
Also... ich bin auch kein großer Freund von Antivirus-Software mehr und mache mir wegen dieser Warnung jetzt auch nicht ins Hemd - aber strange finde ich es schon. Vor allem, dass nur einer von drei Rechnern (alle mit der gleichen Windows 10-Version und Defender) Alarm schlägt.
Nein, auch wegen zip in Mails meckert der Defender nicht grundsätzlich.
Ich hake es jetzt einfach mal ab. Ich glaube, es bringt nichts, sich darüber den Kopf zu zerbrechen...
Zitat von @Nils02:
Hast du mal den Dateihash angezeigt und explizit nach diesem bei VT gesucht?
Ansonsten sind Zip-Dateien in Mails normalerweise unerwünscht und eventuell denkt das auch der Defender.
Du meinst, ob die Datei zufällig einen Hash hat, der mit einer bekannten Bedrohung übereinstimmt? Nein, das habe ich tatsächlich nicht gemacht. Andererseits sollte das dann ja auch auf den anderen Rechnern aufpoppen...Hast du mal den Dateihash angezeigt und explizit nach diesem bei VT gesucht?
Ansonsten sind Zip-Dateien in Mails normalerweise unerwünscht und eventuell denkt das auch der Defender.
Nein, auch wegen zip in Mails meckert der Defender nicht grundsätzlich.
Zitat von @ThePinky777:
oder sind die PW geschützt ? dann liegts daran... Viren mögen es per PW geschützte Zips als Anhang sich einschleusen zu lassen... weil VIrenscanner können inhalte PW geschützter Zips nicht scannen, daher pauschal von KI als Pöse eingestufft
Nein, auch nicht Passwortgeschützt.oder sind die PW geschützt ? dann liegts daran... Viren mögen es per PW geschützte Zips als Anhang sich einschleusen zu lassen... weil VIrenscanner können inhalte PW geschützter Zips nicht scannen, daher pauschal von KI als Pöse eingestufft
Zitat von @knurrhahn:
Frage meinerseits: wäre es vielleicht denkbar, dass der Defender in einer der Textdateien einen Term entdeckt hat, der als Bestandteil eines Konsolen- / Powershell o.ä -scripts verstanden werden könnte?
Denkbar wäre das. Es sind Logdateien von einem Compiler, Tausende Zeilen, ich bin die jetzt nicht alle durchgegangen, aber da könnten schon "komische" Terme vorkommen - aber es ist halt wieder die Sache, dass es nur auf einem Rechner zum Alarm kommt.Frage meinerseits: wäre es vielleicht denkbar, dass der Defender in einer der Textdateien einen Term entdeckt hat, der als Bestandteil eines Konsolen- / Powershell o.ä -scripts verstanden werden könnte?
Ich hake es jetzt einfach mal ab. Ich glaube, es bringt nichts, sich darüber den Kopf zu zerbrechen...
