{"id":260028,"date":"2021-12-01T00:54:42","date_gmt":"2021-11-30T23:54:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260028"},"modified":"2024-02-11T18:40:39","modified_gmt":"2024-02-11T17:40:39","slug":"microsoft-defender-version-1-353-1874-0-meldet-flschlich-trickbot-emotet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/01\/microsoft-defender-version-1-353-1874-0-meldet-flschlich-trickbot-emotet\/","title":{"rendered":"Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot\/Emotet"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kleiner Hinweis f\u00fcr Administratoren, wenn die Arbeit startet und gleich Aufregung \u00fcber euch schwappt, weil der Microsoft Defender eine PowEmotoet.SB <\/em>meldet und ggf. Office startet? Das ist ein Fehlalarm, der durch eine Update der Signaturdateien auf Version 1.353.1874.0 ausgel\u00f6st wurde. Hier einige Informationen, was bisher bekannt ist.<\/p>\n

<\/p>\n

\"\"Blog-Leser Constantin hat mich die Nacht per E-Mail kontaktiert (danke daf\u00fcr) und mich mit folgenden Zeilen auf ein Problem unter Windows im Zusammenhang mit Microsoft Defender for Endpoint hingewiesen:<\/p>\n

Moin,<\/p>\n

Bestimmt ein sch\u00f6ner Artikel wert ,wie Microsoft wieder was verbockt hat und alle Admins aufschreckt.<\/p>\n

Microsoft hat mit einer Defender Definition ins Klo gegriffen und jeder Office Start ist wohl nun ein Defender false positive\u2026<\/p>\n

PowEmotet wir erkannt.<\/p>\n

Twitter explodiert gerade dazu.\u00a0 Da freuen sich morgen fr\u00fch alle Admins\u2026<\/p><\/blockquote>\n

Dazu hat Constantin mir einen Link zu nachfolgendem Tweet<\/a> von Sicherheitsforscher Kevin Beaumont geschickt, der diese Beobachtungen thematisiert. Der Defender scheint wohl etwas zu triggern, so dass sich Microsoft Office \u00f6ffnet.<\/p>\n

\"Microsoft<\/a><\/p>\n

Christopher Mage hat das dann in einer virtuellen Maschine nachgestellt. Am 30.11.2021 wurde ihm beim Drucken vom Defender ein Fund Behavior:Win32\/PowEmotet.SB <\/em>gemeldet. Der Defender blockiert dann die betreffende (Signatur-)Datei PowEmotet.SB. Beaumont kam schnell auf den Trichter, dass es eine ausgerollte \u00c4nderung in der Virensignatur ist, die\u00a0 grunds\u00e4tzlich bei jedem Office-DDE-Steuerelement einen Fehlalarm ausgel\u00f6st.<\/p>\n

Auf Twitter gibt es diesen Tweet<\/a>, in dem ein Benutzer etwas \u00e4hnliches postet. In diesem Tweet<\/a> schreibt ein Nutzer, dass \"PowEmotet\" derzeit von Microsoft Defender \u00fcber \"C:\\Windows\\splwow64.exe\" als False Positive gekennzeichnet werde, wenn Benutzer versuchen, aus Office365-Anwendungen zu drucken. Auf reddit.com gibt es diesen Post<\/a>:<\/p>\n

MsDefender detect Emotet in Microsoft Excel<\/p>\n

For the last 40 minutes we have 5-6-7 windows device that MSDefender detected Win32\/PowEmotet.SB . If we update the antivirus definition and open a new Excel file after we will have detection.<\/p><\/blockquote>\n

der sich \u00fcber Emotet-Infektionen in Microsoft Excel beklagt und fragt, ob man alleine sei. Da ist inzwischen im Thread und auch auf Twitter quasi die H\u00f6lle los, weil sich immer mehr Nutzer mit dieser Beobachtung melden. Ziemlich schnell geben Nutzer an, dass diese Funde mit der Virendefinition v.1.353.1874.0 des Defender auftreten. Inzwischen hat Microsoft folgende Informationen gepostet, die ich im reddit-Thread gefunden habe.<\/p>\n

\"Starting on the evening of November 29th, customers may have experienced a series of false-positive detections that are attributed to the Behavior:Win32\/PowEmotet.SB malware detection. Microsoft has investigated this spike of detections and determined they are false positive results. The affected Security Intelligence builds began with 1.353.1842.0. Microsoft has suppressed the detection preventing future alert spikes for those customers connected to the cloud. An upcoming Security Intelligence build to address the issue will be released shortly.\"<\/p><\/blockquote>\n

Also die Best\u00e4tigung, dass eine fehlerhafte Defender Antivirus-Signatur 1.353.1842.0, die am 29. November ausgerollt wurde, f\u00fcr diese falschen Alarme verantwortlich ist. Microsoft hat die Erkennung unterdr\u00fcckt, um k\u00fcnftige Warnspitzen f\u00fcr Kunden zu verhindern, die mit der Cloud verbunden sind. Ein neues Security Intelligence-Build zur Behebung des Problems soll in K\u00fcrze ver\u00f6ffentlicht werden.<\/p>\n

Erg\u00e4nzungen:<\/strong> Auch die Kollegen von Bleeping Computer melden hier<\/a> den gleichen Sachverhalt. Heute fr\u00fch ist dann die Signatur 1.353.1888.0 freigegeben worden (ich habe sie unter Microsoft Security Essentials unter Windows 7 SP1 ESU gesehen). Bei den Kollegen von Bleeping Computer gibt es diesen Kommentar<\/a>, der ein Fragezeichen dran macht, dass damit alle Probleme behoben seien. Beim ihm wird noch die Behavior:Win32\/PowEmotet.SB<\/em> in Quarant\u00e4ne geschoben.<\/p>\n

Artikel des Security-Adventskalenders
\n<\/strong>1.\u00a0Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2.\u00a0Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3.\u00a0Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4.\u00a0Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5.\u00a0BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6.\u00a0Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7.\u00a0Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8.\u00a0Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9.\u00a0Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10.\u00a0Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11.\u00a0Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12.\u00a0Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13.\u00a0Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14.\u00a0Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15.\u00a0Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16:\u00a0H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17:\u00a0Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18:\u00a0Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19:\u00a0Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20:\u00a0CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21:\u00a0Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22:\u00a0Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23:\u00a0BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24:\u00a0Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Windows Server 2019\/2022: Der Microsoft Defender for Endpoint streikt nach Nov. 2021 Updates<\/a>
\nWindows 11: Defender-Bypass mit Ausbruch aus der Sandbox<\/a>
\nDen Defender unter Windows mit symbolischen Links ausknipsen<\/a>
\nUpdate von LameXP auf Version 4.19 wird vom Microsoft Defender bem\u00e4ngelt<\/a>
\nWindows Server 2019: VM wirft BSOD wegen Windows Defender<\/a>
\nWindows 8.1\/Server 2012 R2: KB5003681 blockt Defender Echtzeitschutz (Error 0x800705b4)<\/a>
\nMicrosoft Defender flutet Windows-Systemlaufwerk mit Dateien (Mai 2021)<\/a>
\nMicrosoft Defender ATP stuft Chrome-Update als PHP-Backdoor ein<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kleiner Hinweis f\u00fcr Administratoren, wenn die Arbeit startet und gleich Aufregung \u00fcber euch schwappt, weil der Microsoft Defender eine PowEmotoet.SB meldet und ggf. Office startet? Das ist ein Fehlalarm, der durch eine Update der Signaturdateien auf Version 1.353.1874.0 ausgel\u00f6st wurde. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[4328,837,3288],"class_list":["post-260028","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-sicherheit","tag-virenscanner","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260028"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260028\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}