Ich habe dieses Backup-Programm vor über einem Jahr erstellt. Es wurde vorher nie als Bedrohung erkannt. Als es heute Morgen versuchte, das zu tun, was es immer tut, hat Windows Defender es unter Quarantäne gestellt und es als schwerwiegende Bedrohung eingestuft: „Trojan:Win32/Bearfoos.A!ml“
Es verwendet zwei DLLs, die ich selbst geschrieben habe. Eine davon führt rekursive Suchvorgänge durch und die andere liest/schreibt Dateien. Im Grunde liest meine .exe ihre Konfigurationsdatei, überschreibt sie, wenn ein Problem auftritt, verwendet dann die geladenen Informationen, um rekursive Suchvorgänge zu starten und kopiert/komprimiert diese Dateien dann (mit 7za.exe) auf mehrere Laufwerke.
Es ruft auch kernel32 (GetConsoleWindow) und user32.dll (ShowWindow) auf, da es sich um eine Konsolenanwendung handelt.
Ich bin sicher, dass ich es zu den Ausnahmen hinzufügen kann. Es gibt einen anderen Thread über Avast zu einem sehr ähnlichen Thema, der es vorgeschlagen hat. Ich frage mich nur, warum? Warum jetzt? Warum Bearfoos? Warum kann Windows Defender nicht erkennen, dass ich dieses Programm selbst geschrieben habe? Warum kann Windows Defender nicht erkennen, dass es nur Dateien auf meinen eigenen lokalen Laufwerken kopiert? Ich habe es sogar selbst zum Windows Taskplaner hinzugefügt. Wie viel mehr grüne Flagge braucht Windows Defender noch!?
Ich könnte mir vorstellen, dass dies die meisten Programme tun, also Dateien kopieren und lesen.
Antwort1
Als Antwort würde ich Ramhounds Kommentar wählen: „Sie müssen den Fehlalarm an Microsoft melden. Wenn Sie den Fehlalarm nicht melden, wird Windows Defender ihn weiterhin als bösartig erkennen.“
Ich habe die Datei gestern an Microsoft gesendet und sie haben heute geantwortet. Sie haben die Erkennung entfernt und mir Schritte zum Löschen alter Definitionen und Aktualisieren auf die neuen mitgeteilt.
Vielen Dank an alle für ihre Beiträge, auch an diejenigen, die negativ bewertet wurden. Hier ist eine Seite, die mir geholfen hat zu verstehen, warum mein Programm als potenzielle Malware erkannt wurde. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria
Antwort2
Wenn Sie hundertprozentig sicher sind, dass es sicher ist, fügen Sie es als Ausnahme zu Windows Defender hinzu.
Antwort3
Warum passiert das jetzt? Wahrscheinlich gab es kürzlich ein Update für Windows Defender, das dazu führte, dass das Verhalten gegenüber Ihrem Programm geändert wurde. Die Erkennung von Schadsoftware ist schwierig und der Prozess ist nicht 100 % zuverlässig. Es passieren Fehler. Manchmal wird Schadsoftware nicht erkannt und manchmal wird legitime Software fälschlicherweise als Schadsoftware identifiziert.
Windows Defender versucht nicht herauszufinden, ob Sie das Programm geschrieben haben und ihm deshalb besondere Privilegien zu gewähren. Das wäre eine wirklich schlechte Idee. Die Programmierer trauen sich nicht zu, dies mit ausreichender Zuverlässigkeit zu tun. Gäbe es eine solche Funktion, würde sie Malware eine weitere potenzielle Methode bieten, der Erkennung zu entgehen. Windows Defender hat nicht das Gesamtbild des Programms wie Sie. Er kann nur seine Dateien auf Muster bekannter Malware überprüfen und seine Aktivität überwachen. Und all das tut er in dem Wissen, dass die Dinge möglicherweise nicht so sind, wie sie erscheinen. Moderne Malware ist sehr ausgeklügelt und kennt viele Tricks, um als etwas anderes zu erscheinen, als sie ist. Malware verfeinert ständig ihre Methoden, der Erkennung zu entgehen, und Sicherheitssoftware muss ihre Erkennungsmethoden verfeinern.
Die meisten Sicherheitsprogramme verfügen über eine Art Ausschlussliste. Aber auch das ist nicht so einfach, wie es scheint. Die Liste muss sehr sorgfältig verwaltet werden, sonst würde sich Schadsoftware einfach selbst in die Liste eintragen. Malware-Autoren studieren Windows Defender und andere Sicherheitsprodukte genau und suchen immer nach Schwachstellen, die sie ausnutzen könnten.