Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet

Sicherheit (Pexels, allgemeine Nutzung)[English]Kleiner Hinweis für Administratoren, wenn die Arbeit startet und gleich Aufregung über euch schwappt, weil der Microsoft Defender eine PowEmotoet.SB meldet und ggf. Office startet? Das ist ein Fehlalarm, der durch eine Update der Signaturdateien auf Version 1.353.1874.0 ausgelöst wurde. Hier einige Informationen, was bisher bekannt ist.


Anzeige

Blog-Leser Constantin hat mich die Nacht per E-Mail kontaktiert (danke dafür) und mich mit folgenden Zeilen auf ein Problem unter Windows im Zusammenhang mit Microsoft Defender for Endpoint hingewiesen:

Moin,

Bestimmt ein schöner Artikel wert ,wie Microsoft wieder was verbockt hat und alle Admins aufschreckt.

Microsoft hat mit einer Defender Definition ins Klo gegriffen und jeder Office Start ist wohl nun ein Defender false positive…

PowEmotet wir erkannt.

Twitter explodiert gerade dazu.  Da freuen sich morgen früh alle Admins…

Dazu hat Constantin mir einen Link zu nachfolgendem Tweet von Sicherheitsforscher Kevin Beaumont geschickt, der diese Beobachtungen thematisiert. Der Defender scheint wohl etwas zu triggern, so dass sich Microsoft Office öffnet.

Microsoft Defender for Endpoint false Emotet alarm

Christopher Mage hat das dann in einer virtuellen Maschine nachgestellt. Am 30.11.2021 wurde ihm beim Drucken vom Defender ein Fund Behavior:Win32/PowEmotet.SB gemeldet. Der Defender blockiert dann die betreffende (Signatur-)Datei PowEmotet.SB. Beaumont kam schnell auf den Trichter, dass es eine ausgerollte Änderung in der Virensignatur ist, die  grundsätzlich bei jedem Office-DDE-Steuerelement einen Fehlalarm ausgelöst.

Auf Twitter gibt es diesen Tweet, in dem ein Benutzer etwas ähnliches postet. In diesem Tweet schreibt ein Nutzer, dass "PowEmotet" derzeit von Microsoft Defender über "C:\Windows\splwow64.exe" als False Positive gekennzeichnet werde, wenn Benutzer versuchen, aus Office365-Anwendungen zu drucken. Auf reddit.com gibt es diesen Post:

MsDefender detect Emotet in Microsoft Excel

For the last 40 minutes we have 5-6-7 windows device that MSDefender detected Win32/PowEmotet.SB . If we update the antivirus definition and open a new Excel file after we will have detection.

der sich über Emotet-Infektionen in Microsoft Excel beklagt und fragt, ob man alleine sei. Da ist inzwischen im Thread und auch auf Twitter quasi die Hölle los, weil sich immer mehr Nutzer mit dieser Beobachtung melden. Ziemlich schnell geben Nutzer an, dass diese Funde mit der Virendefinition v.1.353.1874.0 des Defender auftreten. Inzwischen hat Microsoft folgende Informationen gepostet, die ich im reddit-Thread gefunden habe.

"Starting on the evening of November 29th, customers may have experienced a series of false-positive detections that are attributed to the Behavior:Win32/PowEmotet.SB malware detection. Microsoft has investigated this spike of detections and determined they are false positive results. The affected Security Intelligence builds began with 1.353.1842.0. Microsoft has suppressed the detection preventing future alert spikes for those customers connected to the cloud. An upcoming Security Intelligence build to address the issue will be released shortly."

Also die Bestätigung, dass eine fehlerhafte Defender Antivirus-Signatur 1.353.1842.0, die am 29. November ausgerollt wurde, für diese falschen Alarme verantwortlich ist. Microsoft hat die Erkennung unterdrückt, um künftige Warnspitzen für Kunden zu verhindern, die mit der Cloud verbunden sind. Ein neues Security Intelligence-Build zur Behebung des Problems soll in Kürze veröffentlicht werden.

Ergänzungen: Auch die Kollegen von Bleeping Computer melden hier den gleichen Sachverhalt. Heute früh ist dann die Signatur 1.353.1888.0 freigegeben worden (ich habe sie unter Microsoft Security Essentials unter Windows 7 SP1 ESU gesehen). Bei den Kollegen von Bleeping Computer gibt es diesen Kommentar, der ein Fragezeichen dran macht, dass damit alle Probleme behoben seien. Beim ihm wird noch die Behavior:Win32/PowEmotet.SB in Quarantäne geschoben.


Anzeige

Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte

Ähnliche Artikel:
Windows Server 2019/2022: Der Microsoft Defender for Endpoint streikt nach Nov. 2021 Updates
Windows 11: Defender-Bypass mit Ausbruch aus der Sandbox
Den Defender unter Windows mit symbolischen Links ausknipsen
Update von LameXP auf Version 4.19 wird vom Microsoft Defender bemängelt
Windows Server 2019: VM wirft BSOD wegen Windows Defender
Windows 8.1/Server 2012 R2: KB5003681 blockt Defender Echtzeitschutz (Error 0x800705b4)
Microsoft Defender flutet Windows-Systemlaufwerk mit Dateien (Mai 2021)
Microsoft Defender ATP stuft Chrome-Update als PHP-Backdoor ein


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit Sicherheit, Virenscanner, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet

  1. MrX1980 sagt:

    Bei solchen False Positive Meldungen bitte sofort hiermit an Microsoft melden:
    https://www.microsoft.com/en-us/wdsi/filesubmission

    In der Regel erscheint dann in 1-3 Stunden eine neue Virensignatur, die das Problem behebt.

    • Herr IngoW sagt:

      Ist sicher schon passiert, diese Versionen vom Defender bei mir:
      Antimalware-Clientversion: 4.18.2110.6
      Modulversion: 1.1.18700.4
      Antiviren-Version: 1.353.1888.0 <——
      Antispyware-Version: 1.353.1888.0
      Letztes Update: 01.12.2021 08:00

      • Günter Born sagt:

        Könnte sein – ich habe den Beitrag die Nacht zwischen 0:30 und 0:50 Uhr geschrieben. Mal schauen, wie viele Admins sich noch melden – in anderen Zeitzonen war die Aufregung die Nacht groß.

  2. Tobias B. sagt:

    Vielen Dank für die schnelle Berichterstattung.

    Der Puls ging dann doch recht zügig wieder in den Normalbereich.

  3. Luzifer sagt:

    Defender liefert bei mir regelmäßig false positiv. Bei jedem selbstgeschriebenen Teil was ( da für den Eigengebrauch) nirgends verbreitet ist! Den ist was neu und ihm nicht bekannt und laut hasch auch nicht verbreitet ist das ne Gefahr laut Defender …

    Somit unbrauchbar und das erste was ausgeschaltet wird und auf Ersatzprodukt zurückgegriffen wird.

    Ist wie nen Lügner wer einmal lügt dem glaubt man nicht!

    • MrX1980 sagt:

      Mit Lügen hat es nichts zu tun und es ist richtig, dass sich Antivirenprogramme zuerst bei unbekannter Software (wegen der Heuristik) so verhalten. Auch Software Entwickler müssen sich an die richtigen Stellen wenden, damit ihre Software akzeptiert werden. Im Fall von Microsoft ist es ebenfalls die bereits genannte Webseite https://www.microsoft.com/en-us/wdsi/filesubmission
      Hält man die Prozesse ein, hat man weniger Probleme.

      Zudem kann man im Windows Defender Ausschlüsse definieren, wenn man sehr häufig Software kompiliert und nicht möchte, das diese Dateien jedes mal Anschlagen. Somit ist der Windows Defender nicht "unbrauchbar" (bestätigt auch AV-Test), sondern man muss ihn nur richtig bedienen.

      • Buster sagt:

        Ein Virenscanner, dem man ständig sagen muss, was eine normale Anwendung ist, ist unbrauchbar. Er verfehlt sein Designziel Schadsoftware zu erkennen. Denn dann kann ich auch eine Whitelist erstellen und jegliche Softwareausführung verbieten, die nicht in der Whitelist steht. Dafür brauche ich keinen Virenscanner.

        • blicdesa sagt:

          eure Probs möcht ich mal haben – habsch aba nich.
          regt euch weiter künstlich auf – was wär das "Leben" nur ohne borns…
          :-P

    • Wil Ballerstedt sagt:

      Auf ein Ersatzprodukt … D. h. die neuen Risiken durch die meist grottigst programmierten AV-Alternativen sind dir lieber, als dem Defender zu sagen, dass alles cool ist. Kann man machen.

  4. Jackie sagt:

    False positives sind immer unschön. Aber bis jetzt muss ich sagen hatte ich ein oder zwei false positives in 10 Jahren Defender Nutzung. Ich habe den Defender bzw. seinen Vorgänger Security Essentials auch auf Windows 7 und Windows Server 2008 R2 schon eingesetzt. Finde ich soweit alles im Rahmen. Im Gegensatz zu anderen Antivirus Lösungen hat der Defender zumindest bei mir noch nie zu einem nicht mehr bootendem System geführt weil plötzlich Systemdateien fehlten! Außerdem Office bzw. Excel ist doch schon zumindest PUP, nichts tötet meine Produktivität so schnell wie ein Microsoft Office Programm :)

    • MrX1980 sagt:

      In den letzten 7 Jahren habe ich auch nur 2-3 Meldungen gemacht und hatte nach ein paar Stunden eine korrigierte Signatur erhalten. Und ich verwende recht häufig Betaprogramme, daher sind es wirklich wenig False Positive Meldungen.

  5. Kurt sagt:

    Der frühe Vogel fängt den Wurm bzw. gottseidank bin ich Spätaufsteher, somit habe ich die Aufregung verschlagen 😁
    Aber Respekt das Sie noch bis 1 Uhr in der Früh am Blog aktiv sind.

  6. Admin sagt:

    Super ! Die Info hatte ich hier heute nacht schon gelesen, hat jetzt gerade direkt geholfen.

    Bei uns wurden dadurch Drucker im Office Druck-Dialog als nicht erreichbar angezeigt, während es z.B. aus Notepad++ ganz normal funktionierte.
    -> noch mal Windows Update getriggert um die aktuellsten Signaturen zu bekommen, und schon druckt's wieder.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.