保安Microsoft Defender 以误报 Emotet 吓到管理员

Microsoft Defender 以误报 Emotet 吓到管理员

由于将文件误报为潜在的 Emotet 恶意软件负载分组,Microsoft Defender for Endpoint 目前正在阻止打开 Office 文档和启动一些可执行文件。

Microsoft Defender Emotet

另见: 全球邮箱中出现了哪些新的 Emotet 活动

广告

Windows 系统管理员报告说,这是在将 Microsoft 的企业端点安全平台(以前称为 Microsoft Defender ATP)的定义更新到版本 1.353.1874.0 之后。

启用后,Defender for Endpoint 将阻止打开文件并显示与 Win32 / PowEmotet.SB 或 Win32 / PowEmotet.SC 相关的可疑活动相关错误。

YouTube

“我们发现 1.353.1874.0 定义更新存在问题,该更新将打印检测为 Win32 / PowEmotet.SB,”一位管理员说。

“我们看到 Excel 检测到了这一点,任何使用 MSIP.ExecutionHost.exe(AIP 敏感客户端)和 splwow64.exe 的 Office 应用程序,”另一位补充说。

第三方确认了今天定义更新的问题:“我们看到了相同的行为,尤其是在今天发布的 1.353.1874.0 版定义中,其中包括对 Behavior: Win32 / PowEmotet.SB & Behavior: Win32 / PowEmotet.SC 的定义. ”

BleepingComputer 能够在具有最新 Microsoft Defender 签名的 Windows 10 虚拟机上启用误报,如下所示。

虽然微软尚未公布造成这种情况的原因的信息,但最可能的原因是该公司在今天发布的更新中提高了检测类 Emotet 行为的敏感性,这使得通用引擎 Defender 行为检测对误报非常敏感。

另见: Emotet 僵尸网络在 Trickbot 的帮助下卷土重来

这种变化最有可能是由近期 Emotet 僵尸网络的复兴引发的,因为研究团队 Cryptolaemus、GData 和 先进的英特尔 开始看到 TrickBot 在受感染的设备上倾倒 Emotet 加载程序。

Microsoft Defender Emotet

另见: 联邦调查局(FBI):Emotet收集了4万个电子邮件地址

微软告诉 BleepingComputer,它已经为正在开发补丁的云连接用户解决了这个问题,补丁将发布给其他人。

“我们正在努力解决一些客户可能遇到许多误报的问题。 这个问题已经为云连接的客户解决了,”微软发言人说。

30 年 11 月 21 日更新:添加了 Microsoft 声明。

另见:

现货图片

实时新闻

00:08:23
00:08:58

如何正确清洁家里的小工具和电器?

9 个迹象表明您的 PC 已感染间谍软件

如何在 Chromebook 上阻止 YouTube?

如何清除 iPhone 上未使用的应用程序

Facebook Messenger:您的消息安全吗?

如何在 Microsoft Excel 中将月份添加到日期