A Microsoft defende os administradores com falsos emotetes positivos

O Microsoft Defender for Endpoint está atualmente bloqueando a abertura de documentos do Office e o lançamento de alguns executáveis ​​devido a um falso positivo que marca os arquivos como potencialmente embalados com uma carga de malware Emotet.

Os administradores do sistema Windows estão relatando [1, 2, 3, 4, 5] que isso está acontecendo desde que as definições da Plataforma de Segurança de Endpoint Empresarial da Microsoft (anteriormente conhecida como Microsoft Defender ATP) foram atualizadas para a versão 1.353.1874.0.

Quando ativado, o Defender for Endpoint bloqueará a abertura do arquivo e gerará um erro mencionando atividades suspeitas relacionadas a Win32 / PowEmotet.SB ou Win32 / PowEmotet.SC.

"Tivemos problemas com a atualização de definição 1.353.1874.0 que detecta a impressão como Win32/PowEmotet.SB esta tarde", disse um administrador a Ella.

"Estamos vendo detecção para Excel, qualquer aplicativo do Office que use MSIP.ExecutionHost.exe (AIP Sensitivity Client) e splwow64.exe", acrescentou outro.

Um terceiro confirmou os problemas com as atualizações de definição de hoje: "Estamos enfrentando o mesmo comportamento em particular com as definições v.1.353.1874.0, que foi lançada hoje e incluiu uma definição para Behavior: Win32/PowEmotet.SB & Behavior: Win32/ PowEmotet.sc."

Falso Positivo Emotet no Microsoft Defender (BleepingComputer)

Embora a Microsoft ainda não tenha compartilhado nenhuma informação sobre o que causa isso, o motivo mais provável é que a empresa aumentou a sensibilidade para detectar comportamento semelhante ao Emotet nas atualizações lançadas hoje, o que torna o mecanismo de detecção de comportamento menos provável. muito sensível a falsos positivos.

A mudança foi provavelmente devido ao recente relançamento do botnet Emotet há duas semanas, depois que o grupo de pesquisa Emotet Cryptolemus, GData e Advanced Intel começou a ver o TrickBot lançar carregadores Emotet em dispositivos infectados.

Embora quase certamente não seja real, o momento é definitivamente azarado com o retorno do Emotet e da maioria dos administradores do Windows já em alerta.

Como alguns deles relataram, eles quase colocaram seus data centers offline para evitar a propagação de uma possível infecção pelo Emotet antes de perceberem que o que estavam vendo provavelmente eram falsos positivos.

Desde outubro de 2020, os administradores do Windows lidam com outros Defender for Endpoints, incluindo um mostrando dispositivos de rede infectados com Cobalt Strike e outro sinalizando atualizações do Chrome como backdoors PHP.

BleepingComputer entrou em contato com a Microsoft para obter mais informações e para confirmar que esse problema de detecção de comportamento aciona um falso positivo, mas não recebeu uma resposta.

  • Como ver números bloqueados no iPhone
  • A câmera do seu Chromebook agora é um scanner de documentos

descubra mais conteúdo

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

O que é uma carga fantasma?

O que é Comportamento de Vírus?

Ceprolad (também conhecido como Behavior :Win32/Ceprolad. A) é um vírus do tipo Trojan de alto risco que se infiltra furtivamente no sistema e executa ações maliciosas.

O que é o Spike Manager Win32?

PUA : Win32 /InstallCore é uma ameaça detectada por vários softwares antivírus e antimalware. Esse vírus modifica os arquivos do sistema e instala novos serviços no Windows que colocam o sistema operacional em risco.

Ir arriba