Microsoft Defender напугал сисадминов ложноположительными срабатываниями на Emotet

Системное администрирование Антивирусная защита Софт IT-компании
По информации Bleeping Computer, в конце ноября системные администраторы стокнулись с ложноположительными срабатываниями корпоративной версии Microsoft Defender. Антивирусное ПО начало массово блокировать пользовательские файлы с пояснением, что обнаружена активность, связанная со зловредом Win32/PowEmotet.SB или Win32/PowEmotet.

Инцидент коснулся почти всех пользовательских файлов Excel и любого приложения Microsoft Office, которое задействовало приложения MSIP.ExecutionHost.exe и splwow64.exe.

Эксперты Bleeping Computer выяснили, что проблема появилась после получения последнего обновления платформы безопасности оконечных точек Microsoft (Defender ATP).

Через некоторое время после многочисленных жалоб пользователей Microsoft исправила в своем облачном сервисе эту проблему и пообещала выпустить заплатку, которая отключит уведомления и блокировку файлов со стороны Microsoft Defender по этому инциденту.

Пример ложноположительного срабатывания Microsoft Defender на вероятное поведение после заражения ботнетом Emotet.)
Теги:
Хабы: