Hallo,

ich habe das seltsame Problem, dass eine EXE von mir bei der Weitergabe als WACATAC erkannt wird.
Ich habe ein kleines Tool für ein Kundenproblem geschrieben, bei dem eine 4MB EXE herauskommt, habe das an einen Kollegen weitergegeben zum testen, der bekommt es aber partout nicht auf seinen PC drauf, da der Windows Defender das stur als Wacatac-Malware erkennt.
Ich übertrage häufig irgendwelche EXEn und das ist das erste Mal, dass ich so ein Problem habe.
Da ich nicht weiß, worauf genau die Heuristik anschlägt und ich im Delphi 11.3 Thread gesehen habe, dass andere das Problem auch noch hatten, wollte ich mal nachfragen, ob wer eine Lösung dafür hat, dass der Defender das nicht mehr Wacatac erkennt.

Die allermeisten AntiVir-Hersteller bieten eine Upload-Möglichkeit für eigene Programme an. Das entsprechende Programm wird dann dort untersucht und bei False Positive in die Whitelist aufgenommen, d.h. man muss anschließend nur noch das nächste oder übernächste Signatur-Update abwarten.

Das ist mir klar, nur geht es hierbei um ein winziges Hilfstool, welches dazu gedacht ist, kurzfristig ein bestimmtes Problem zu lösen, kein ordentliches veröffentlichtes Programm, und bis dato hatte ich noch nie ein solches Problem, selbst mit winzigen Hilfstools.

Okay, habe gerade eine Lösung gefunden:
Ich hab für das Minitool jetzt auch mit Zertifikat und allem drum und dran eine Anwendungs-Store-Datei erzeugt und davon die EXE genommen, welche dann auch funktioniert.
Macht generell ja Sinn, war nur bisher für sowas noch nie nötig bei mir.
Vielleicht hatte ich einfach Pech mit der Defender-Heuristik.

So am Rande bemerkt: Gerade rief mich ein Kollege an, weil eines unserer Programme vom Windows Defender als mit genau diesem Virus befallen gemeldet wurde. Dabei handelt es sich um ein mit Delphi 2007 geschriebenes durchaus größeres Programm.

Auf Virus Total erkennt ein mir bisher völlig unbekannter Virenscanner (angeblich der Marktführer in Vietnam) ebenfalls ein Virus, alle anderen 67 erkenne nichts.

Deshalb höchstwahrscheinlich ein false Possitive.

Ich habe mich auch mit solchen Meldungen herumgeschlagen - wie allgemein bekannt hilft eine Signatur.

Aber es gibt auch manchmal Probleme durch den Sandbox check. Hier wird die EXE in einer Sandbox gestartet und es wird dort automatisch auf jeden Knopf geklickt. Wenn dies zu einer Exception führt (z.b. FileNotFound) dann wird die erste rote Flagge gehisst. Man sollte also darauf achten, das EXEs keine Exceptions werfen, wenn sie ohne gültige Daten geladen werden. (Timer sind auch unbeliebt und hissen weiter Flaggen)

Zitat von DeddyH:

und bei False Positive in die Whitelist aufgenommen

Oder besser die "ungünstige" Virensignatur wird repariert.

Bei mir hatte es vor vielen Jahren dann auch nur knapp 10 Minuten gedauert, von der Meldung bei Avira, bis es wieder ging. (aber ja, kann auch mal bis paar Tage dauern)