Batch Datei wird als Virus erkannt?

5 Antworten

Ein Hoch auf Heuristiken! Setup mit #define MyAppPublisher "Vorname Nachname" ist ein Virus. Mit "Vorname Gausi Nachname" ist alles ok.

Ein Zitat aus einem Forum, wo jemand ein ähnliches Problem hatte.

Virenscanner können Viren nicht eindeutig identifizieren, das ist technisch unmöglich. Aus dem Grund versucht man, Viren über Heuristiken zu erkennen, also indem man nach typischen Verhaltensmustern sucht, also nach dem Muster "Das könnte vielleicht ein Virus sein, weil ein paar Viren ähnlichen Code enthalten" - grob gesagt.

Leider sind solche Heuristik-Analysen extrem fehleranfällig, immer wieder werden Programme falsch-negativ oder falsch-positiv eingeordnet, Du bist ein Beispiel für Letzteres.

Machen kannst Du nichts, außer so lange den Code ändern, bis es irgendwann nicht mehr als Virus erkannt wird.

Ob das vielleicht ein gängiges Problem von Batch in exe ist, weiß ich nicht, halte ich aber für vorstellbar. Es gab z.B. Mal einen Virus, der an vielen Virenscanner vorbei gekommen ist, weil er in AutoIT geschrieben wurde und die das gar nicht oder nicht korrekt verarbeiten konnten.
Ich könnte mir vorstellen, dass viele Virenscanner jetzt nach unüblichen Sprachen für Exe-Dateien suchen und ich finde eine Exe für ein Batch-Script ziemlich ungewöhnlich.
Das ist aber nur ein Gedanke, mehr nicht.


Klawutzel  23.05.2020, 17:07

Deshalb benutze ich schon lange keinen Virenscanner mehr.

Meine Empfehlung für Erfahrene Benutzer ist:
Mal bei VirusTotal hochladen und/oder eine Virtuelle Maschine Verwenden und mal das Datei zugriffsverhalten des Programmes aufzeichnen mit sysinternals/Procmon.

Palladin007  23.05.2020, 17:08
@Klawutzel

Du benutzt Windows, oder?
Damit benutzt Du implizit auch Microsoft Security Essentials.

Dagegen spricht mMn. auch nichts, besonders da es weit weniger nervt, als die Anderen.

Wichtig bleibt aber trotzdem, dass man nicht glaubt, sicher zu sein.

Klawutzel  23.05.2020, 17:12
@Palladin007

Da ich auch Programme entwickle und verwende, die etwas untypisch sind, kann ich mir keinen Defender erlauben, der springt zu oft an und ist ein Hindernis.

Natürlich darf man sich nicht in Sicherheit wiegen, ich überprüfe bei neuer Software gerne, in einer VM, das Dateizugriffs-verhalten und anderes, damit ich keine Crypto Trojaner einfange.

Hatte bisher noch nie Probleme, nutzte Windows schon seit 15 Jahren.

Palladin007  23.05.2020, 17:14
@Klawutzel

Naja, so eine Prüfung schützt gegen einen Trojaner herzlich wenig, immerhin hat der erst Mal nur die Aufgabe, nichts zu tun.

Aber damit bist Du sowieso nicht Zielgruppe von Virenscannern, den meisten Menschen würde ich das nicht empfehlen.

Klawutzel  23.05.2020, 17:16
@Palladin007

Ich konnte schon viele Trojaner so identifizieren, die nie auf mein reales System Zugriff bekamen.

Palladin007  23.05.2020, 17:18
@Klawutzel

Und wie findest Du Viren, die bei deinem Test gar nicht auf dein System Zugriff haben wollen? Oder solche, die prüfen, ob sie in einer VM laufen, oder nicht?

Aber klar, auch manuell kriegt man keine absolute Sicherheit hin, die meisten Viren wirst Du so vermutlich finden.

Klawutzel  23.05.2020, 17:20
@Palladin007

Wenn ein Prozess im realen System zu viele Ressourcen verbraucht, fange ich hin under wieder schon mal nachsehen an was er macht, und finde dann evtl. weitere Malware.

Aber bis jetzt habe ich, zu meinem Glück, noch keine so intelligente Viren gehabt, die VM überprüfen und sich so gut verstecken, für gewöhnlich sind Viren ziemlich schlecht gemacht.

Einen wirklich intelligenten Kernel Modus Virus von der CIA wird wohl niemand so leicht identifizieren können.

Palladin007  23.05.2020, 17:25
@Klawutzel

Mein recht simples Konzept:

Ich installiere Windows immer Mal wieder neu.
Kein automatisches Backup, was ich behalten will, sichere ich selber.

Windows 10 lässt sich auf NVMe-SSDs ziemlich schnell neu installieren.

Lamanini  23.05.2020, 18:39
@Klawutzel
Aber bis jetzt habe ich, zu meinem Glück, noch keine so intelligente Viren gehabt, die VM überprüfen und sich so gut verstecken

Echt? Die Dinger fliegen doch überall rum, wundert mich.

Palladin007  23.05.2020, 22:32
@Lamanini

Ich hatte bisher auch keinen Virus - zumindest keinen, den ich bemerkt habe.

Eigentlich zählt nur, dass man im Internet aufmerksam ist. Keinen Quatsch einfach so herunterladen und starten, außerdem muss man bei unbekannten Emails aufpassen, da wird gerne Zeug verteilt.

Wenn man also allgemein vorsichtig ist und sich nicht verarschen lässt, kriegt man auch keine Viren.

Ich habe absolut kein Mitleid mit Leuten, welche eine Batch in eine exe verpacken und sich beschweren, wenn der Virenscanner Amok läuft.

Dieses gebaren hat nichts mit Professionalität zu tun. Wer nichts zu verbergen hat, kann erhobenen Hauptes jedem seine Batch präsentieren. viele tun ja geradezu als wäre es etwas anstößiges eine Batch zu benutzen. Seit ewigen Zeiten steuern Administratoren Rechner und Netzwerke per Batch. Mit 10 Zeilen Batch kann ich teilweise mehr bewegen, als mit 100 Zeilen C.

Mit Batch kann man wie mit jeder anderen Programmiersprache ein funktional tadelloses Programm schreiben und kein Virenscanner wird dieses monieren, wenn diese keinen zwielichtigen Code enthält. In meinen Augen laufen vielzuviele Möchtegernprogrammierer herum, welche flink zusammengeschustertem Code richtig Schaden verursachen können. Kein Virenscanner kann nachvollziehen ob ein Systemadministrator bewusst die Zugriffsrechte auf einen Ordner entzieht oder jemand seinen Schabernack treibt.

Woher ich das weiß:eigene Erfahrung – Ich mach das seit 30 Jahren

Antivirenprogramme sind grundsätzlich Müll, und überreagieren bei jeder Form von Wrapper oder EXE-Packer.

Am besten du deinstallierst das schnell wieder! Schützen wird es dich sowieso nicht vor aktueller Malwer und außerdem reißen Antivirenprogramme ständig Sicherheitslöcher ins System, die eine Infektion durch Schadsoftware erst ermöglichen.

Achte lieber auf ordentliche Software-Updates, nutze Adblocker und eine Art Sandbox (z. B. Sandboxie) ... dann bist du sicherer als mit AV-Software!

Warum verpackt man eine Batch Datei in eine EXE?

Und wieso vertraust du blind einem x-beliebigen BAT to EXE Konverter?


Palladin007  23.05.2020, 17:16

Frage 1: Weil es für Laien professioneller aussieht
Frage 2: Weil es für Laien professioneller aussieht

:P

Lamanini  23.05.2020, 18:38
@Palladin007

Und natürlich, damit keiner in den Code sehen kann. Leute könnten ja wissen, was sie sich da downloaden.

Tja, Zeit sich ein anderes Antivirenprogramm zuzulegen, wenn das schon so simple selbstgemachte .exe Dateien falsch erkennt. Welches Antivirenprogramm ist es denn?


BamDigga 
Beitragsersteller
 31.05.2020, 14:48

Ich habe nur den von windows

Roderic  23.05.2020, 16:36

Wenn man die Warnungen seines Virenscanners ignorieren soll, dann kann man sich den Virenscanner auch gleich sparen.

Wie wärs denn damit, den FS mal einen genaueren Blick auf seinen BAT to EXE Converter werfen zu lassen, anstatt ihm solch hinrnrissige Ratschläge zu geben.

Palladin007  23.05.2020, 16:38
@Roderic

Man kann sich Virenscanner immer sparen, die sind nie zuverlässig.
Die Behauptung, sie würden den PC sicher machen, ist reines Marketing.
Der einzige halbwegs sichere Schutz ist das eigene Hirn.

Roderic  23.05.2020, 16:40
@Palladin007

Virenscanner sind nie zu 100% zuverlässig.

Aber einen gewissen Schutz bieten sie schon.

Meistens schützen sie den Anwender vor den Folgen seiner eigenen Leichtsinnigkeit.

Palladin007  23.05.2020, 16:48
@Roderic

Sie können eventuell dem Anwender Schutz bietet, wissen kann man das aber nie, sie könnten auch - wie in diesem Fall - falsch liegen.

Das Problem, das ich damit habe, ist die trügerische Sicherheit, die sie vermitteln und die zwangsläufig darauf folgende Nachlässigkeit.

wrglbrmpft  23.05.2020, 16:52
@Roderic

Das hat keiner geschrieben, nur du. Und wenn der Virenscanner schon so schrecklich schlecht ist, dass er den .bat zu .exe Konverter nicht unverzüglich in Quarantäne schickt, weil er verseuchten Code erzeugt, dann muss er durch einen ordentlichen Virenscanner ersetzt werden.

Ich habe ungefähr 400 Anwender über die Jahre vor ihrer eigenen Leichtsinnigkeit versucht zu schützen -> keine Chance! Wenn sie nicht tun, was du ihnen sagst, sind sie infiziert. Da bist du noch nicht mal ein paar Hundert Meter weit gefahren.

Also nochmal, welches üble Virenschutzprogramm bringt diese Meldungen? Etwa der Total AV?

Lamanini  23.05.2020, 18:41
@wrglbrmpft
Das hat keiner geschrieben, nur du. Und wenn der Virenscanner schon so schrecklich schlecht ist, dass er den .bat zu .exe Konverter nicht unverzüglich in Quarantäne schickt, 

Gibt genug online Dinger.

Also nochmal, welches üble Virenschutzprogramm bringt diese Meldungen?

Mein AV schießt regelmäßig meine selbst entwickelten Programme und meine IDE ab. Da ist nichts ungewöhnliches.

Lamanini  23.05.2020, 18:42
@Roderic
Meistens schützen sie den Anwender vor den Folgen seiner eigenen Leichtsinnigkeit.

Oder sie öffnen einen riesigen Angriffsvektor, da sie sich im Kernel mode bewegen.