Microsoft Defender for Endpoint ошибочно отмечает последнее обновление Chrome как вредоносное

Microsoft Defender for Endpoint (ранее известный как Microsoft Defender Advanced Threat Protection) начал отмечать вчерашнее обновление Google Chrome как вредоносное, что тревожило пользователей и администраторов и создавало между ними путаницу.Некоторые пользователи отправились в Twitter, чтобы сообщить о поведении и узнать, были ли обнаружения ложными срабатываниями.

Hey @msftsecresponse - Seeing lots of Defender ATP alerts this morning on C:Program Files (x86)GoogleChromeApplication88.0.4324.104Localessl.pak detected as PHP/Funvalget.A. Can you confirm this is a false positive? SHA256 in reply.

— W. David Winslow (@wdwinslow) February 3, 2021

Ресурс ZDNet поделился изображением обнаружения, где программное обеспечение помечает файл sl.pak как «Funvalget backdoor», что согласуется с многочисленными сообщениями на форумах, таких как VirusTotal. Этот файл, по-видимому, связан с языковой локализацией, которая присутствует в установщике для Chrome версии 88.0.4324.104, который вчера начал развертываться среди пользователей.

В то время было неясно, действительно ли существует угроза безопасности с файлом, или обнаружение было сделано ложно. Обнаружение означало, что установщик автоматически блокировался во многих системах. Однако, согласно ZDNet, потребительская версия программного обеспечения безопасности в настоящее время не помечает те же установочные файлы как вредоносные.

Хотя Microsoft еще не делала никаких публичных заявлений, по крайней мере один пользователь VirusTotal утверждает, что редмондцы признали обнаружение ложным срабатыванием и удалила его. Пользователь добавляет, что компания предусмотрела для администраторов и пользователей шаги по очистке кешированных обнаружений и извлечению последних определений вредоносных программ. Вот шаги, которые также можно найти в данной документации:

1. Откройте командную строку от имени администратора и смените каталог на c:\Program Files\Windows Defender.
2. Запустите MpCmdRun.exe -removedefinitions -dynamicsignatures.
3. Запустите MpCmdRun.exe -SignatureUpdate.

Системным администраторам лучше всего очистить кешированное обнаружение, чтобы устранить проблему с ложным срабатыванием. Это также должно разблокировать установщик последней версии Chrome.

Узнать другие подробности можно здесь.