Endpoint için Microsoft Defender şu anda Office belgelerinin açılmasını engelliyor ve bazı çalışmalar, dosyaları bir emotet kötü amaçlı yazılım yükünü potansiyel olarak birleştirerek potansiyel olarak birleştirin.
Windows System Admins, Microsoft'un Enterprise Endpoint Security Platform'u (daha önce Microsoft Defender ATP) tanımları 1.353.1874.0'a güncellendiğinden beri (1, 2, 3, 4, 5] olduğunu bildiriyor.
Tetiklendiğinde, son nokta için Defender dosyayı açılmasını engeller ve Win32 / Powemotet.sb veya Win32 / Powemotet.sc ile bağlantılı şüpheli etkinlikten bahsedilen bir hata atar.
"Tanımlama güncellemesi ile ilgili sorunları görüyoruz.
"Excel, MSIP.executionhost.exe (AIP duyarlılık istemcisi) ve splwow64.exe kullanarak herhangi bir Office uygulaması için tespit edildiğini görüyoruz.
Üçüncüsü, bugünün tanım güncellemeleri ile ilgili sorunları doğruladı: "Aynı davranışı, özellikle yayınlanan tanımların V.1.353.1874.0 ile aynı davranışı görüyoruz ve davranış için bir tanım içeriyordu: Win32 / Powemotet.SB ve Davranış: Win32 / Powemotet.sc. "
BleepingComputer, aşağıda gösterildiği gibi en son Microsoft Defender İmzaları ile bir Windows 10 sanal makinesinde yanlış pozitif tetikleyebildi.
Microsoft, buna neden olan şey hakkında henüz herhangi bir bilgiyi paylaşmamış olsa da, en olası neden, Şirket'in bugün yayımlanan güncellemelerdeki güncellemelerde deneyimsel davranışları tespit etmek için duyarlılığı arttırmasıdır, bu da Defender'in genel davranış tespit motorunu yanlış pozitiflere yatkındır. .
Değişim, emotet botnet'in iki hafta öncesinden son zamanlarda canlanmasından sonra, Emotet Araştırma Grubu Cryptolaemus, GData ve Gelişmiş Intel, Trickbot'u enfekte olmuş cihazlarda bırakarak Trickbot'u görmeye başladı.
Bu neredeyse kesinlikle gerçek bir şey olmasa da, zamanlama kesinlikle emotet geri dönen ve çoğu Windows'un ayak parmaklarında ilerlemesi konusunda talihsizdir.
Bazılarının bildirdiği gibi, neredeyse veri merkezlerini çevrimdışı olarak, gördüklerini gördükleri şeyin olası yanlış pozitif olduğunu fark etmeden önce yayılmasını önlemek için çevrimdışı.
2020 Ekim'den bu yana, Windows Admins, Kobalt grevi ile enfekte olan ağ aygıtları ve diğer bir başkası PHP olarak işaretlenmiş bir diğeri olan ağ cihazları gösteren diğer savunmacı ile ilgilenmek zorunda kaldı.
Microsoft, BleepingComputer'ün bulut bağlantılı kullanıcılar için sorunu çözdüklerini ve herkes için bir düzeltme üzerinde çalıştıklarını söyledi.
"Bazı müşterilerin bir dizi yanlış pozitif algılama yaşayabilecekleri bir konuyu çözmek için çalışıyoruz. Bu konu bulut bağlı müşteriler için çözüldü." - Bir Microsoft sözcüsü.
Güncelleme 11/30/21: Microsoft'un ifadesini ekledi.
Microsoft Defender ATP, Linux ve MacOS için canlı yanıt ekler
Endpoint için Microsoft Defans, Windows Server'da başlamıyor
Microsoft: Windows Web İçeriği Filtreleme şimdi genel olarak kullanılabilir
Microsoft: Office 365, tüm kullanıcılar için varsayılan korumayı artıracak
İşte dünya çapında posta kutularına isabet eden yeni emotet spam kampanyaları
Kaynak: Bleeping Computer