False positive Emotet ve virové databázi MS Defenderu

[SGvagon]

Zdravím,

doufám, že mi zde jako na poradně zive.cz nezamknete téma. Ten jejich novej moderátorskej tým očividně nerozumí hrozbě, která nastala z 30.11 na 1.12.2021 . Ano skutečně se některé firmy rozhodovali z důvodu bezpečnosti odpojovat své servery. Známému v práci dnes nefungovala jediná tiskárna, určitě se jednalo o stejný false positive a jeho firma buď neaktualizovala na opravenou virovou databázi, nebo odpojila síťové tiskárny.

Jak již z názvu téma vyplývá, tak Microsoft aktualizoval virovou databázi, která měla chybičku a začala blokovat součást systému / Office a označovat ji jako hrozbu Emotet .

Stalo se to bohužel i mne když jsem večer přijel z odpolední domů a spustil Office 2003 Word. MSE (Microsoft Security Essentials) ihned zahlásilo, že je v systému vir Emotet a poté Word přestal odpovídat a spadnul. 5 minut na to se objevil na Bleeping computer článek , že se jedná nejspíše o false positive.

Po hodině MS vydal opravenou verzi virové databáze, ale bohužel mi v karanténě zůstal výše zmíněný Emotet.

Můj dotaz tedy zní, co teď s ním? Na Borncity mi bylo doporučeno tento false positive rozhodně nemazat, ale hádám, že sám jen tak nezmizí.

Mohu jej buď tedy odebrat nebo povolit.

Pro rýpaly, důvodem není mé používání MSE, ale problém se týká všech Microsoftích Defenderů, které používají jejich virovou databázi.

Předem děkuji za jakoukoliv odpověď.

Dodatečně přidáno po 4 hodinách 26 minutách 22 vteřinách:
Tak jsem to nejspíše vyřešil přeinstalací MSE :) . Hledám a bojím se problémů tam kde očividně nejsou. I tak jsem raději při odinstalaci a instalaci měl odpojený internet (jenom kdyby náhodou) . Ale je pravda, že Emotet asi není zrovna nic pěknýho, když se skutečně dostane do systému.
Každopádně vir už není v nalezených položkách, takže pokud se nic nepokazilo, tak je problém vyřešen :) . Nevím jak by tohle řešili uživatelé Windows 8.1 nebo 10 , kde je Defender natvrdo nainstalovaný do systému a nelze jej takto jednoduše přeinstalovat. Téma zatím nechám odemčené kdyby se chtěl někdo další podělit o jeho zkušenosti s touto problematikou.

[Reklama]

[petr22]

Tym na Zive je spise alergicky na zarucene zpravy o nove sssssstraslive hrozbe uz uz se chystajici znicit
cely svet, ale vcasny post na foru ji zazracne odvraci. Maji pravdu - davas prispevek do dizkuzniho fora,
aniz chces neco resit nebo se na neco ptas.

Odpojovani serveru, odpojovani dokonce jeste tiskaren je "reseni" nekde na urovni roku 1995 a zcela urcite
ho nikdo v realu nedela jen kvuli tomu, ze MS antivir hlasi falesne positivni nalez. Pokud tam pripises takovehle
nesmysly tak to nikdo nebude brat vazne, uz chybi jen na tuhle hrozbu svest ze sousedum uhynul pes. Omezil bych
text pouze na smysluplne overitelne udaje. V tom clanku, na ktery odkazujes je presne vysvetlene, co se skutecne deje.

Pokud jde o aktualnost software, pouzivas Office 2003 jehoz podpora skoncila v roce 2014.

"Hledám a bojím se problémů tam kde očividně nejsou."

Take bych kazdy IT problem nepricital automaticky teto hrozbe. MS vydal opravu, ta se nainstalovala a behem
chvile byl problem vyresen. Neni nutne to vydavat za celosvetovou hrozbu.

Prave takovehle povesti snizuji serioznost jakehokoliv verohodneho textu:

Známému v práci dnes nefungovala jediná tiskárna, určitě se jednalo o stejný false positive a jeho firma buď
neaktualizovala na opravenou virovou databázi, nebo odpojila síťové tiskárny.

Ve skutecnosti nikdo z nas netusi, cim byl problem zpusoben.

[faraon]

Vidím tam hned několik problémů najednou:

Vyhnu se rýpání do MSE, ale měl bys místo něj použít něco funkčního.

O Defenderu platí totéž.

Další problém je, že Maloměk zase něco podělal, což podělává celkem pravidelně několikrát do roka.

Z toho vyplývá dlouholetá zkušenost, že aktualizace se nemají instalovat okamžitě, ale se zpožděním, až si nabijí držku jiní a M$ vydá několikrát opravenou verzi. Doporučuje se až měsíc od vydání, většinou to stačí.

Používáš velmi starou verzi Oppice, což se uživatelsky dá chápat, ale pouze na počítači NEpřipojeném k Internetu.

No a nakonec, Emotet je skutečně velká hrozba, zejména potom co ho ovládla německá policie a použila pro sebe.

[SGvagon]

petr22 : Stačí si projet některé diskuze. Vir se v prvních chvílích skutečně tvářil jako reálná hrozba, kór když se Emotet opět vrací.

Co se týče používání MSE, tak jak je vidět používá úplně stejnou virovou databázi jako Defender na desítkách. Problém se projevil úplně stejným zpúsobem. Takže systémy by měly být zabezpečeny na stejné úrovni (samozřejmě kromě CVE chyb v systému, kde jsou na tom nyní W7 hůře) .

A na poradně živě jsem problém uvedl, že mám false positive nález v antiviru a nevím co s ním. Pokud to vyznělo jinak, tak chápu proč byl dotaz zamknut. Alespoň jsem upozornil místní, že se jednalo o false positive.

A co se týče problémů u firem, tak si stačí projet Twitter nebo Reddit, ostatně je to uvedeno i ve článku na bleeping computer.

faraon: Zrovna u virové databáze se instalace nedá pozdržet a instaluje se každý den nová verze.

[mirekol]

Možná by bylo dobré zdůraznit, že problém se týkáMicrosoft Defender for Endpoint

[SGvagon]

Tady šlo především o to, že by smazání hrozby (false positive) nejspíše mohlo poškodit systém. Tedy alespoň takto mě varovali na borncity

[SGvagon]

Tak se asi něco stalo. Microsoft mi asi z důvodu této chyby zablokoval aktivaci systému na úrovní ID instalace na mém notebooku . Snad se mi něco podobného nestane i na PC, kde mi Emotet vyskočil také.

Abych to zkrátil, systém mi ode dneška nejde aktivovat, jelikož mi vyskakuje tabulka, že používám nelegální systém. Přitom klíč je legální a vždy mi fungovala alespoň aktivace po telefonu. Nyní mi ale nefunguje ani aktivace po telefonu (ani při vypnutém internetu) , vyskočí opět hláška že kopie systému není pravá.
Zkusil jsem snad vše co se týče smazání klíče ze systému pomocí slmgr příkazů, resetování počtů aktivace, ... ... . Dokonce jsem zkusil zakoupit na internetu nový Windows 7 klíč, ale ten vyhodí stejnou tabulku ohledně nepravé kopie systému Windows.

Budu muset provést nejspíše přeinstalaci celého systému .

[SGvagon]

Lidi tady je asi fakt hodně něco špatně. Systém se mi dnes sám od sebe aktivoval (na klíč, kterej jsem právě kupoval z internetu) . Klíč, kterej mi to včera nebralo ani po telefonu, protože mi aktivace hlásila nelegální kopii systému a že se aktivační klíč nadiktovaný po telefonu neshoduje s ID instalace. Že by měli problémy s aktivačními servery?

A to už jsem blbec provedl 40 GB záloh na druhej disk, že už bych zítra dělal přeinstalaci (obával jsem se, že nahození půl roku staré zálohy by dělalo stejné problémy, vypadalo to totiž na blokaci ID instalace systému) .