Microsoft Defender for Endpoint(原名 Microsoft Defender Advanced Threat Protection)从昨天开始,将谷歌 Chrome 浏览器的更新标记为恶意软件,这让不少用户和管理员惊愕,并造成了一定的混乱。部分用户在 Twitter 上报告了这个行为,并询问是否为误报。
根据外媒 ZDNet 分享的一张检测照片,Microsoft Defender for Endpoint 将“sl.pak”文件标记为“Funvalget backdoor”,这与 VirusTotal 等论坛上的多份报告一致。该文件似乎与昨天开始向用户推出的 Chrome 88.0.4324.104 版本的安装程序中存在的语言本地化有关。
当时尚不清楚是文件真的存在安全风险,还是误报。不过这意味着很多系统会自动屏蔽安装本次更新。不过外媒 ZDNet 表示,Defender 的消费者版本并没有将同样的安装文件标记为恶意文件。
虽然微软并未发表任何公开声明,不过至少有一位用户在 VirusTotal 论坛上承认是误报,并已经删除了该检测。该用户补充说,该公司已经为管理员和用户提供了清除缓存检测和提取最新恶意软件定义的步骤。以下是步骤,也可以在这里的文档中找到。
以管理员身份打开命令提示符,将目录定位到c:\\Program Files\Windows Defender。
运行 "MpCmdRun.exe -removedefinitions -dynamicsignatures"
运行 "MpCmdRun.exe -SignatureUpdate""
更新:微软发布公告,承认这是误报