Nicht korrekte Trojanerwarnung durch Microsoft Defender

[Sisyphus]

Hallo,
In den letzten Tagen häufen sich "Falschmeldungen" (false positives) über einen Trojaner im durch Alathair ausgelieferten und angepassten ClassicUO-Client. In den meisten Fällen ist das ein Trojaner namens "wacatac" oder auch "Cobaldstrike". Die ClassicUO.exe ist der neue Client, auf den schon viele Spieler umgestiegen sind.
Leider ist das nicht nur eine Meldung, sondern der Client wird durch den Defender in Quarantäne gesteckt beziehungsweise gelöscht. Wodurch es zu folgendem Fehlerbild kommt:


Eine Lösung um das Problem zu umgehen besteht darin, den ClassicUO-Ordner in die Ausnahmeliste des Microsoft Defenders hinzuzufügen. Dafür sind folgende Schritte notwendig:
Über die Windowssuche nach: "viren und bedrohungsschutz" suchen und diesen Bereich der Systemeinstellungen öffnen:


Anschließend auf "Einstellungen verwalten" klicken:


Im folgenden Dialog ganz nach unten Scrollen, und "Ausschlüsse hinzufügen oder entfernen" auswählen:


Zuletzt noch den ClassicUO-Ordner, der als Unterordner innerhalb eurer Alathair-Installation herumliegt, hinzufügen:


Wo euer Alathair herumliegt, findet ihr unter anderem durch den Patcher heraus. Dafür den Patcher starten, oben auf das Zahnrad klicken, den Profilnamen auswählen, und zum Ort des "Lokalen Pfads" navigieren:




Wir bemühen uns weiterhin um eine vernünftige(re) Lösung. Leider sind wir aber aus Sicht von Microsoft ziemlich klein, um hier auf schnelle Entscheidungswege hoffen zu können. Umbauten innerhalb des Clients in den letzten Tagen haben zu keiner Besserung geführt, was auch an der Art und Weise liegt, wie der Defender arbeitet. Auch haben wir systematisch Features entfernt, alte Revisionen ausgegraben und erneute Scans durchführen lassen, ohne das es die Trojanermeldung abgefedert hätte. Auch alte Versionen, die VOR dem ersten Auftreten von Trojanermeldungen ausgeliefert wurden, werden je nach System jetzt als gefährlich eingestuft. Teilweise kann man mit Löschen von dynamischen Signaturen und anderem Brimborium Abhilfe schaffen - was aber das flächendeckende Problem nicht behebt.
Sobald es also Neuigkeiten gibt, melden wir uns! :)


Um schon mal ein paar Fragen und Antworten vorweg zu nehmen:
Nein, der Client liest nicht eure Browserinhalte aus.
Nein, wir verbauen keine Trojaner.
Der Client kann eine URL in eurem Standardbrowser öffnen, wie alle bisherigen UO Clients ohnehin.
Für die ganz schlauen dann: Nein, das wurde nicht kürzlich 'heimlich' eingebaut - die Funktion besteht so seit Start des Projektes.
Das wurde ehemals genutzt um bei Spielern URL's wie zB den Afk Link zu öffnen, heute wird es vor Allem staffintern (Staffler öffnet bei sich selbst Link xyz) verwendet oder aber zB bei Gesetzestafeln (Adoran,Rahal).
Ist das Standardbrowser erkennen / URL öffnen die Zeile Code die den Client als Trojaner beim Defender detecten lässt? Unwahrscheinlich, da andere CUO Clients diese Funktion ebenfalls enthalten und entsprechend nicht als false positive abgestempelt werden. Es war auch eins der Features die testhalber um und ausgebaut wurden, ohne das es die Trojanermeldung verhindert hätte.