Спецпроекты

Безопасность

Штатный антивирус Windows объявил Chrome, Edge и Spotify программами-вымогателями

Фирменный антивирус Microsoft, встроенный в операционную систему Windows, принял приложения на базе фреймворка Electron и Chromium, за вымогательское ПО жестокой киберпреступной группировки Hive. Опасность оказалась мнимой, а странное поведение Defender вызвало неудачное обновление определений угроз. Microsoft решила проблему очередным обновлением баз Defender, но уже после того, как вызвала переполох среди пользователей Windows в разгар выходных.

Странное поведение Defender

Microsoft Defender внезапно стал воспринимать браузеры Chrome и Edge, мессенджер Discord и приложение музыкального сервиса Spotify в качестве вредоносного ПО.

По сообщению Bleeping Computer, после одного из последних обновлений антивирусное ПО Microsoft, встроенное в операционную систему Windows, странно реагирует на попытку запуска этих приложений, усматривая в них программу-вымогателя группировки Hive. Проблемы могут возникать и с иными программными продуктами, построенными на основе фреймворка Electron или кодовой базе проекта Chromium.

Как отмечает источник, на подозрительные срабатывания Defender пользователи впервые обратили внимание в воскресенье, 4 сентября 2022 г., когда Microsoft выпустила обновление для своего фирменного антивируса (версия 1.373.1508.0). Апдейт включает два новых определения, в частности, “Behavior:Win32/Hive.ZY”, которое, по всей видимости, и является корнем проблемы.

Распространенная проблема

По данным BornCity, проблема получила широкое распространение. Жалобы со стороны пользователей, проживающих в различных частях света, можно обнаружить на просторах социальной сети Twitter и популярного форума Reddit. С проблемой столкнулись пользователи обеих актуальных версий ОС Microsoft для десктопов – Windows 10 и Windows 11.

windo600.jpg
Microsoft Defender по ошибке признал Chromium и Electron вредоносным ПО

«Все приложения на основе Electron и Chrome с сегодняшнего дня определяются как “Behavior:Win32/Hive.ZY”. Google не дает результатов. Что происходит?!», – задается вопросом автор одной из посвященных проблеме тем на Reddit под псевдонимом FanNo5618. На момент публикации данного материала тема собрала более 80 комментариев, во многих из которых пользователи площадки подтверждают реальность проблемы.

Несмотря на настойчивость, с которой Defender предупреждает о серьезных рисках при запуске ряда популярных приложений, на самом деле никакой опасности они, с высокой вероятностью, не несут, а антивирус Microsoft видит в них угрозу по недоразумению, отмечает Bleeping Computer.

Исправление уже доступно

Впоследствии Microsoft выпустила еще несколько обновления вирусных определений для Defender. Одно из них имеет версию 1.373.1537.0 (от 4 сентября 2022 г.), которое, по информации, Bleeping Computer устраняет ложные срабатывания.

«Мы выпустили обновление для решения этой проблемы, и клиентам, использующим автоматические обновления Microsoft Defender не нужно предпринимать какие-либо дополнительные действия», – заявил представитель Microsoft в разговоре с изданием.

Если же после обновления антивирусных баз Defender до версии 1.373.1537.0 или более свежей программа продолжает сигнализировать о наличии ПО Hive, возможно, следует уделить этому особое внимание – не исключено, что в конкретном случае угроза не является мнимой.

Как связаны Electron и Chrome

Electron – фреймворк, позволяющий создавать десктопные приложения с использованием веб-технологий (HTML, CSS, JavaScript и пр.). Для отображения элементов управления в окне такого приложения (рендеринга) применяется движок браузера Chromium (свободная версия Google Chrome). В качестве бэкенда – платформа Node.js.

Electron лежит в основе ряда коммерческих продуктов: бизнес-мессенджера приобретенного Salesforce в конце 2020 г. за почти $28 млрд; популярного среди любителей онлайн-игр сервиса обмена сообщениями Discord и еще одного инструмента корпоративных коммуникаций – Microsoft Teams. Последний разработчики намеревались в конечном счете перевести с Electron на Edge WebView2.

Базой для Electron послужил популярный бесплатный текстовый редактор с подсветкой синтаксиса Atom. Именно из него Electron (ранее – Atom Shell) превратился в самостоятельный программный продукт. В декабре 2022 г. разработка редактора будет прекращена окончательно. Пользователям GitHub советуют переходить на Microsoft Visual Studio Code, имеющем общую кодовую базу с Atom.

Группировка Hive

Hive представляет собой киберпреступную организацию, занимающуюся вымогательством с использованием программ-шифровальщиков. Такие программы, попав в систему жертвы, блокируют доступ к сохраненным в ней данным с помощью алгоритмов шифрования, а затем требуют выкуп за его возврат.

На фоне прочих группировок Hive, следы деятельности которой впервые были обнаружены в июне 2021 г., выделяется неизбирательностью своих атак. Группировка не брезгует нападать на организации в сфере здравоохранения, в частности, больницы и клиники. В августе 2021 г. новостной портал ZDNet сообщил о том, что жертвами Hive стали по меньшей мере 28 организаций данного профиля, расположенных на территории США.

Ложные срабатывания Defender

Microsoft Defender пугает пользователей Windows ложными срабатываниями не в первый раз.

Так, в марте 2022 г. CNews писал о том, что корпоративная версия антивируса начала ошибочно помечать компоненты пакета Office как вредоносное ПО. Microsoft тогда оперативно устранила проблему, которая возникла в результате обновления определений угроз.

Штатный антивирус в Windows 10 воспринимал популярный торрент-клиент uTorrent как «потенциально нежелательное ПО», автоматически удалял его и препятствовал его повторной установке. Эти изменения были внесены в политику Defender вместе с патчем 21Н1 для Windows 10.

Впрочем, у uTorrent с антивирусными программами долгая и сложная история взаимоотношений. Не только ПО Microsoft с опаской относилось к торрент-клиенту, разработчики которого временами давали для этого повод, к примеру, включив в его поставку сторонние компоненты сомнительного происхождения.

В феврале 2021 г. CNews сообщил о том, что Microsoft Defender for Endpoint принимает один из установочных компонентов Google Chrome за троян PHP/Funvalget.A.

Дмитрий Степанов

Короткая ссылка