#安全资讯 Microsoft Defender 再次出现误报,将某个纯文本文件报毒,但这次误报的根源似乎是有人恶作剧。因为这个纯文本文件此前被某人上传到病毒样本库里,要么这个人是恶作剧要么是进行某种测试,而微软也调用了这个病毒库。查看全文:https://ourl.co/104643
在社交媒体平台 X 上网友 @rari_teh 发布消息称微软防病毒软件 Microsoft Defender 错误地将某个纯文本文件给报毒了,这个纯文本文件的内容非常简单:This content is no longer available.
过去几年 Microsoft Defender 误报问题非常多,包括 Chrome、Firefox 乃至 Edge 安装包给拦截,将 Office 更新给拦截,将某些正常网站给拦截等。
不过将纯文本文件给报毒还是个新鲜事儿,毕竟这段内容着实谈不上病毒问题,而 Microsoft Defender 拦截并给出的理由是 Casdet 木马,类型为 Trojan:Win32/Casdet!rfn
在其他平台也有网友讨论过这事儿,最初有网友认为是包含这段内容的文本文件 SHA256 与现有病毒库冲突,即文件 SHA256 前几个和后几个值恰巧命中了某个病毒样本的哈希值。
这种猜测很快被放弃,因为有其他网友发现该文件曾经被作为病毒样本上传到某个病毒库中,这个病毒库应该也被微软使用了。
一份纯文本文件被当做病毒样本上传,要么是恶作剧要么是上传者进行某种测试,具体情况就不清楚了,因为相关讨论帖子已经被删除。
要想进行复现你可以新建一个纯文本文档,编码格式为默认的 ANSI,将其保存时即可触发 Microsoft Defender 的拦截,不知道此时微软更新病毒库没。