本周有多位IT管理員通報,微軟企業端點安全軟體Microsoft Defender for Endpoint因誤判有殭屍網路病毒Emotet,而不允許使用者開啟Office檔案。

這些企業管理員是在本周為Defender for Endpoint更新病毒特徵定義檔到1.353.1912.0版後,發生誤判情形。在使用者開啟或儲存Office檔案,包括Word、Excel或PowerPoint文件時,微軟端點安全產品就會顯示偵測到Win32/PowEmotet.SB的訊息,有人則是接連3天出現類似警告。由於無法判定真偽,不少人驚慌不已,還有使用者幾乎考慮關閉資料中心對外連線。

微軟並未對此說明原因。不過BleepingComputer推測,是微軟調高Defender通用行為偵測引擎對Emotet類型惡意程式的偵測敏感度,使它過於靈敏而發生誤判。

這是因為安全廠商發現Emotet死灰復燃。被稱為業界最具破壞力殭屍網路的Emotet,今年初已經被歐洲刑警組織Europol聯合8國警力掃蕩,但安全公司發現,近日長期與Emotet合作的TrickBot駭客開始感染用戶電腦並下載新的Emotet binary,有的是以垃圾郵件,有的則是以包含巨集的惡意Office文件散布。

微軟告訴BleepingComputer,公司已經先解決了Defender for Endpoint雲端版的問題,現在正在解決其他平臺的問題。

不過這也不是Microsoft Defender第一次讓人虛驚一場。今年2月也曾將Chrome 88更新檔誤判為PHP後門程式。4月間也將系統調校工具軟體Winaero Tweaker標註為「病毒或潛在有害程式」(a virus or a potentially unwanted software)。

熱門新聞

Advertisement