Штатное антивирусное решение Microsoft Defender, используемый в операционных системах Windows, считается достаточно надёжным, но и оно может чрезмерно усердствовать в процессе работы. Оказалось, что антивирус определяет текстовый файл всего с одной строкой как троянскую программу Trojan:Win32/Casdet!rfn.

Источник изображения: Shutterstock

На эту особенность обратил внимание пользователь социальной сети X с ником yappy. Если ввести в блокноте фразу «This content is no longer available» (Этот контент больше недоступен) или «This content is no longer available!», и сохранить его в виде текстового файла на компьютере, то Microsoft Defender незамедлительно пометит его как троянскую программу и удалит с устройства, независимо от того, под каким именем файл был сохранён.

Заинтересовавшиеся подобным поведением антивируса пользователи изучили вопрос более детально и пришли к выводу, что причиной ложного срабатывания Microsoft Defender могла стать коллизия SHA-256. Они предполагают, что антивирус распознаёт обычный текстовый файл как вредоносный из-за того, что упомянутая фраза неоднократно использовалась злоумышленниками в различном вредоносном ПО.

Источник изображения: X / yappy

Вероятно, в скором времени Microsoft исправит ошибку, из-за которой антивирус распознаёт текстовый файл как троян. Что именно стало причиной такого поведения Microsoft Defender, пока неизвестно.

На площадке Reddit появилась информация о том, что защитное ПО Microsoft Defender буквально вышло из-под контроля, отмечая как вредоносные вполне безобидные файлы и ссылки. Наличие неполадок подтвердили в Microsoft, специалисты которой уже занимаются устранением неполадок.

Источник изображения: janeb13/pixabay.com

Как сообщает портал Neowin, системные администраторы получают большое количество оповещений системы безопасности. В ленте Twitter-канала Microsoft 365 Status компания сообщила, что проблема действительно существует.

Речь идёт о баге, получившем кодовое имя DZ534539 на портале Microsoft 365 Admin Center. «Мы расследуем проблему с неправильной маркировкой легитимных URL в качестве вредоносных сервисом Microsoft Defender. Вдобавок в некоторых оповещениях не демонстрируется контент так, как ожидается. Дополнительные подробности можно найти по коду DZ534539 в центре администрирования», — сообщает Microsoft.

На Reddit проблема уже вызвала оживлённые обсуждения среди системных администраторов и других IT-специалистов. В одном из форумов пользователь с ником x-64 поделился подробностями, связанными со сбоем. Позже его информацию подтвердили другие комментаторы. Сообщается, что администраторы могут получать неожиданно большое число электронных писем о критических угрозах. В письмах сообщается о том, что была зарегистрирована попытка перехода по потенциально опасному URL. Также становится недоступной возможность просмотра деталей, связанных с оповещением, при переходе по представленным в письмах ссылкам.

Согласно последним сведениям, компания изучает телеметрию сервиса для локализации и устранения исходной причины и разработки плана восстановления нормальной работоспособности защитного решения. О сроках устранения проблемы Microsoft Defender не сообщается.

Интегрированный в операционную систему Windows бесплатный антивирус Microsoft Defender известен многим пользователям ещё со времён Windows XP. Решение пережило многочисленные изменения и сегодня активно используется. Тем не менее, по данным AV-Comparatives, данный продукт намного хуже справляется с защитой, если компьютер не подключен к Сети.

Источник изображения: Microsoft

AV-Comparatives занимается тестированием программного обеспечения, предназначенного для обеспечения компьютерной безопасности. Недавно проведённое исследование потребительского антивирусного ПО Malware Protection Test показало интересные результаты. Тест предусматривал тестирование основных антивирусных платформ на образцах вредоносного ПО, сбор логов и оценку эффективности защиты пользователей от цифровых угроз.

Источник изображения: AV-Comparatives

В список протестированных экспертами AV-Comparatives продуктов вошли хорошо известные бренды вроде Avira, AVG, Avast, Bitdefender, Kaspersky и многие другие. Встроенный в Windows защитник Microsoft Defender тоже участвовал в испытаниях, но оказался далеко не самым лучшим. Так, по данным AV-Comparatives, он занял третье с конца место по эффективности офлайн-распознавания вирусов (69,8 %), опередив Panda (52,8 %) и Trend Micro (41,1 %).

Важно, что при подключении к ресурсам глобальной сети и облачной инфраструктуре Defender продемонстрировал блестящие результаты, распознавая и защищая от 98,1 % и 99,99 % угроз соответственно — многие платные антивирусы показали себя хуже.

Источник изображения: AV-Comparatives

Известно, что недавно AV-Comparatives изменила технологию проверок, отдавая приоритет не только способности обнаружения угроз, но и уровню защиты. В частности, тесты теперь проверяют, может ли антивирусное программное обеспечение предотвратить вносимые вредоносным ПО изменения в систему.

По результатам тестирования с 10019 образцами вредоносного софта, Microsoft Defender сумел справиться со всеми угрозами кроме одной, но только будучи подключенным к облачным сервисам. 100 % уровень защиты показали Avast, AVG, G Data и McAfee, а Trend Micro не справился с 259 образцами.

Также AV-Comparatives выделила все антивирусы в четыре группы в зависимости от количества ложноположительных срабатываний каждой программы. Microsoft Defender отличается «множеством» подобных откликов (19), поэтому в данном тесте он достиг только уровня Advanced, хотя в предыдущих тестах достигал Advanced+.

Стало известно, что недавно Microsoft выпустила проблемное обновление баз данных сигнатур для фирменного антивируса Defender. После установки этого обновления антивирус ошибочно определял угрозу в Chrome, Edge, WhatsApp, Discord, Spotify, а также других приложениях на базе Chromium и Electron.

Источник изображения: Microsoft

Согласно имеющимся данным, установка обновления антивируса приводила к тому, что Microsoft Defender ошибочно обнаруживал угрозу «Behavior: Win32/Hive.ZY» в разных приложениях. При этом проверка антивирусом и другие действия, направленные на устранение проблемы, не приносили результата. На это указывают многочисленные сообщения пользователей, которые обратились за помощью в службу поддержки Microsoft, а также рассказали о возникшей проблеме в Reddit и других сообществах.

Источник изображения: Windows Central

В сообщении сказано, что проблема возникала после установки баз данных сигнатур под номером 1.373.1508.0 (KB2267602), распространение которых началось 4 сентября. Отмечается, что с проблемой после установки этого пакета столкнулись не все пользователи. Тем же, кто столкнулся с этой проблемой, не стоит беспокоиться. Дело в том, что Microsoft признала наличие бага и даже выпустила соответствующее исправление. Ожидается, что оно будет распространено на пользовательские компьютеры в ближайшее время.