本周有多位IT管理员通报,微软企业端点安全软件Microsoft Defender for Endpoint因误判有僵尸网络病毒Emotet,而不允许用户打开Office文件。
这些企业管理员是在本周为Defender for Endpoint更新病毒特征定义档到1.353.1912.0版后,发生误判情形。在用户打开或存储Office文件,包括Word、Excel或PowerPoint文件时,微软端点安全产品就会显示侦测到Win32/PowEmotet.SB的消息,有人则是接连3天出现类似警告。由于无法判定真伪,不少人惊慌不已,还有用户几乎考虑关闭数据中心对外连接。
微软并未对此说明原因。不过BleepingComputer推测,是微软调高Defender通用行为侦测引擎对Emotet类型恶意程序的侦测敏感度,使它过于灵敏而发生误判。
这是因为安全厂商发现Emotet死灰复燃。被称为业界最具破坏力僵尸网络的Emotet,今年初已经被欧洲刑警组织Europol联合8国警力扫荡,但安全公司发现,近日长期与Emotet合作的TrickBot黑客开始感染用户计算机并下载新的Emotet binary,有的是以垃圾邮件,有的则是以包含宏的恶意Office文件传播。
微软告诉BleepingComputer,公司已经先解决了Defender for Endpoint云计算版的问题,现在正在解决其他平台的问题。
不过这也不是Microsoft Defender第一次让人虚惊一场。今年2月也曾将Chrome 88更新文件误判为PHP后门程序。4月间也将系统调校工具软件Winaero Tweaker标注为“病毒或潜在有害程序”(a virus or a potentially unwanted software)。