Windows 10 meldet Win32/AgentTesla!ml - Wie kann man den Trojaner AgentTesla!ml entfernen?

Aktuell schein mal wieder ein Trojaner verstärkt aufzutreten, den es schon recht lange gibt, und zwar den AgentTesla!ml Trojaner. Seit 2014 dürfte dieser Trojaner schon im Umlauf sein, scheint aber zur Zeit quasi ein Revival zu erleben, und darum klären wir in diesem Kurztipp was genau der AgentTesla Trojaner ist und wie man diesen wieder los werden kann.

Alles zum Thema Windows 10 auf Amazon​

AgentTesla, auch oft im Internet mit den Schreibweisen Agent Tesla, Win32/AgentTesla!ml oder nur AgentTesla!ml zu finden, ist in der Lage Passwörter abzugreifen oder auch die Tastatureingaben der Anwender*innen zu erkennen und so eben auch Passwörter und andere sensible Daten zu tracken. Erhalten kann man ihn recht leicht, da er sich innerhalb einer Installationsroutine oder auch in einem Anhang einer E-Mail befinden kann, aber man wird Ihn laut Microsoft auch sehr leicht los, auch wenn es einen kleinen Haken geben kann.

Mit aktivem Windows Defender sollte AgentTesla direkt erkannt werden, so dass man die betroffene Datei direkt entfernen oder in Quarantäne senden kann, natürlich werden auch viele andere aktuelle Scanner AgentTesla!ml erkennen. Auch wenn dies in der Regel recht problemlos funktioniert, sollte im Anschluss zur Sicherheit ein kompletter Scan gemacht werden. Als bereits erwähnten Haken melden manche, dass Programme unter Umständen auch fälschlicherweise anzeigen, sie wären vom AgentTesla!ml Trojaner befallen. Will man so ein Programm unbedingt nutzen, kann man das Ganze nur auf eigenes Risiko freigeben, sollte aber am besten von der Nutzung absehen.

Kommentar des Autors: Manche Klassiker kommen eben immer wieder, leider auch im Bereich der Trojaner…
Win10,#Win10Windows10,#Windows10,#Windows,#Trojaner,#AgentTesla#Win32/AgentTesla!ml#AgentTesla!ml,Trojane,Trojaner AgentTesla,Ratgeber,Tipps,Tricks,Hilfe,Anleitungen,FAQ,Tipps & Tricks für Windows 10,#Benachrichtigungen,Windows 10 Benachrichtungen Apps Anwendungen aktivieren deaktivieren personalisieren

 

[Big Eddie Calzone]

"Evergreen" nennen wir das in der Musik.

 

[Zeiram]

Aber einen Evergreen mag man ja, zumindest meistens... ^^

 

[volkeru]

Zuerst einmal: Microsoft stuft seit kurzem meine mit Visual Studio selbst compilierten Installer-Pakete als dieses Virus ein, was kompletter Unsinn ist. Denn nur Microsoft erkennt hier dieses Virus, kein anderer Scanner. Die Pakete sind nachweislich sauber. Das sogenannte "Revival" dieses Virus führe ich daher mehr auf umfangreiche "false positives" von Microsoft zurück (was nichts Neues ist), als auf eine Wiederkehr oder gar eine echte Bedrohung!

 

[Argor]

@volkeru

Habe jetzt einige Zeit nicht mehr wirklich mit dem Visual Studio gearbeitet, aber ich kann mich erinnern, dass da was war und man die Dinger mit Zertifikaten signieren musste.
Kannst ja mal googlen zu dem Thema.

 

[runit]

... oder zu den Ausnahmen hinzufügen.

 

[volkeru]

@Argor: Sicher, wenn man das Geld hat, sich ein teures Entwickler-Zertifikat zu kaufen, kann man das machen. Kostenlose Zertifikate gibt es schon seit längerer Zeit nicht mehr. Und wenn man die Software nur für sich selbst benutzt, kann man sie natürlich auch zu den Ausnahmen hinzufügen. Für öffentliche Shareware oder kostenfreie Freeware ist das allerdings nicht drin. Ganz unabhängig davon, sollte aber ein brauchbarer Virenscanner keine False-Positives melden. Und da Microsoft immer wieder False-Positives meldet - und das laut VirusTotal als einziger von 60 Virenscannern - ist da definitiv was faul und das Teil nicht wirklich brauchbar. Oder Microsoft macht es mit Absicht, um seine teuren Zertifikate zu verkaufen und nimmt dabei in Kauf, dass die Nutzer völlig verunsichert werden. Auf jeden Fall alles andere als schön!

 

[runit]

Das verstehe ich nicht. Du kannst jede Anwendung zur Ausnahme hinzufügen - ob das Shareware ist, Freeware oder selbst compilierte Installer - m.E. völlig egal. Du kannst auch ganze Verzeichnisse zu Ausnahmen hinzufügen, wie auch Visual Studio incl. alle Unterordner.

Das MS teure Zertifikate verkaufen will, sehe ich nicht als Anlass. MS sieht unter Sicherheitsaspekten jede solche unbekannte Anwendung als potenzielles Sicherheitsrisiko. Das ist eine System-Philosophie. Ähnlich ist das mit unzertifizierten Treibern.

Es obliegt dem Anwender, dem Defender zu sagen, dass die Anwendung akzeptabel ist.

 

[volkeru]

@runit: Ähm?! Natürlich kann man jede Anwendung als Ausnahme hinzufügen, aber man kann das als Entwickler nicht von jedem Anwender erwarten! Sollen 10.000 Anwender alle Ausnahmen hinzufügen? Wenn das Schule macht, ist der Defender nutzlos, weil ihm dann keiner mehr traut und man bei jeder Meldung eine Ausnahme hinzufügt nach dem Motto "Der meldet ja eh nur Blödsinn". Und genau dieser Effekt tritt ein, wenn man alles, was nicht mit teuren Zertifikaten erkauft ist, erstmal pauschal als Sicherheitsrisiko ansieht. Das ist keine Philosophie, das ist einfach nur dumm. Und es macht den Markt für preiswerte Software und Freeware kaputt, die mit teuren Zertifikaten nicht produzierbar ist.

Und es bleibt die Frage: Warum macht nur Microsoft das so und 60 andere Entwickler von Sicherheitssoftware nicht?

Es ist nicht die Aufgabe des Anwenders, dem Virenscanner zu sagen, was eine Bedrohung ist und was nicht, sondern es ist die Aufgabe des Virenscanners, dies dem Anwender mitzuteilen! 60 andere Hersteller sind dazu ja auch in der Lage...

 

[runit]

Und kann denn jeder Anwender mit Visual Studio Installer selbst compilieren? Ich kann das nicht und habe auch gar keinen Bedarf dafür, wie wohl auch kaum ein anderer normaler Nutzer. Wen betrifft das Problem also primär? Ich bin ein normaler Nutzer und habe keine Probleme mit false/positiv-Meldungen meiner Anwendungen. So eine Meldung habe ich sehr sehr selten und weiß dann zumeist auch, warum diese erscheint. Wenn der Defender höhere oder auf das eigene BS bezogen andere Sicherheitskriterien zum Schutz des Systems ansetzt als Fremdprodukte, sehe ich das eher positiv. Dem Defender bei einer so speziellen Datei dann zu sagen, hey, die ist ok, finde ich nicht dramatisch.

 

[volkeru]

Und kann denn jeder Anwender mit Visual Studio Installer selbst compilieren?

Nee, natürlich nicht. Aber der Installer produziert ein Installationspaket (also eine EXE), die der Anwender dann ausführt, um das Programm zu installieren. Diese EXE verteilt man an die Anwender. Und die wird nun vom Defender als schädlich angesehen, obwohl sie von Microsoft selbst produziert wurde. Zu deutsch: Microsoft sieht die von ihren eigenen Entwicklungstools erstellten Produkte als schädlich an, wenn sie nicht zertifiziert sind. Etwas absurd. Andere haben sich darüber auch schon beschwert, siehe hier. Die Antwort von Microsoft, dies sei kein Fehler, weil man das Problem ja beseitigen könnte, indem man den Defender deaktiviert oder Ausnahmen hinzufügt, ist dabei ebenfalls ziemlich absurd. Passt aber irgendwie zu Microsoft.

Wen betrifft das Problem also primär? Ich bin ein normaler Nutzer und habe keine Probleme mit false/positiv-Meldungen meiner Anwendungen. So eine Meldung habe ich sehr sehr selten und weiß dann zumeist auch, warum diese erscheint. Wenn der Defender höhere Sicherheitskriterien zum Schutz des Systems ansetzt als Fremdprodukte, sehe ich das eher positiv. Dem Defender bei einer so speziellen Datei dann zu sagen, hey, die ist ok, finde ich nicht dramatisch.

Das Problem betrifft alle Nutzer, die kostenfreie oder sehr preiswerte Shareware / Freeware nutzen wollen, die mit Microsoft Visual Studio ohne Zertifikate erstellt wurde. Microsoft meldet dabei aber auch nicht jede erstellte Anwendung als Virus, sondern nur manche. So werden bei mir etwa in 50% der Fälle die Pakete als Virus gemeldet. Die anderen 50% scheinen für den Defender okay zu sein, obwohl alle okay sind. Das deutet auf ein ziemlich unzuzverlässiges Erkennungssystem hin. Das Problem ist, dass solche Probleme das Vertrauen in die Leistungsfähigkeit des Defenders beschädigen. Ich bin ja kein Feind des Defenders und bin auch froh, dass es ihn (mittlerweile) gibt. Ich bin aber sehr kritisch und finde, dass er genauso zuverlässig funktionieren sollte, wie andere Malware-Produkte.

 

[runit]

Ok. Danke. Ich glaube, ich habe das Problem erst jetzt vollständig verstanden. Dann sehe ich es auch als unbefriedigend an. Ob das Erkennungssystem so unzuverlässig ist, kann ich nicht beurteilen. Vielleicht ist es ein bestimmtes Kriterium, das unterschiedlich in den Installern enthalten ist, worauf der Defender anspringt.

Wie Du schreibst, ist MS das Problem nicht unbekannt und offenbar so gewollt. Ich weiß ja nicht, ob man mit Visual Studio auch Schadware erstellen kann. Insofern wäre ja nicht automatisch jede Datei unbedenklich, nur weil sie mit Visual Studio erstellt worden wäre. Bei einer Zertifizierung würde die Datei näher geprüft, um sie als unbedenklich einstufen zu können. Wenn es hier nicht um ein Produkt geht, welches einen größeren Gewinnertrag bringen soll, scheut man natürlicherweise die Kosten der Zertifizierung.

Der Moderator @areiland hat ein Service-Tool entwickelt und zur Verfügung gestellt. Bei dessen Installation meckert der Defender, weil der Installer bzw. das Produkt ebenfalls nicht zertifiziert ist. Hier klickt man bei der Installation einfach - Trotzdem Ausführen. Einen Eintrag im Defender gibt es in dem Fall nicht.

Da MS offenbar nicht bereit ist, eine Anpassung vorzunehmen, müssen wir damit leben. Ob das dem Ruf des Defenders schadet - vielleicht ein wenig. Die erhöhte False/Positiv-Quote gegenüber anderen Produkten wird dem Defender regelmäßig nachgesagt, bzw. in Tests von AV Comparatives bescheinigt. Ich konnte es bisher nicht nachvollziehen. Dein Beispiel zeigt mir, durch welche Dateien so ein Ergebnis entstehen kann. Vielleicht besteht hier tatsächlich Optimierungsbedarf beim Defender.

Da Win 10 ausläuft und ab Herbst der Fokus auf Win 11 liegen wird, wäre interessant, ob sich der Defender im neuen BS anders verhält.

 

[Wolf.J]

Nur zur Info, Winset 10 von @areiland ist ebenfalls mit Visual Studio entwickelt und kompiliert.