Windows Defender marca incorrectamente complementos de WoW como troyanos
En los últimos días, los usuarios se han sorprendido de que Windows Defender, el antivirus predeterminado de Windows, haya marcado los complementos de WoW como amenazas potenciales. Estas advertencias son falsos positivos, puede verificarlo usted mismo haciendo un escaneo completo de su carpeta de complementos, que mostrará que no se encontraron amenazas.
Estas advertencias se han enviado a un par de complementos de WoW populares como DBM, Mythic Dungeon Tools, Infinite Raid Tools, Leatrix y Grid. El autor de DBM MysticalOS ha hecho una publicación muy informativa explicando la situación:
Hoy temprano, DBM 9.1.9 comenzó a recibir banderas falsas como malware. Una cosa que puedo asegurar, DBM nunca tendrá nada de eso y tiene prácticas estrictas para evitarlo.
DBM está alojado públicamente para que todos lo vean en github aquí: https://github.com/DeadlyBossMods/DeadlyBossMods
Los archivos zip / lanzamientos se realizan a través de un proceso automatizado seguro a través de otro proyecto de código abierto aquí: https://github.com/BigWigsMods/packager. Simplemente etiqueto una nueva versión en github y las acciones de github ejecutan el empaquetador para generar archivos zip y subirlos a la interfaz wow, curse y wago (usando archivos directamente desde el repositorio de github)
Todas las confirmaciones realizadas en github están incluso firmadas por GPG y muestran una insignia «verificada» para mostrar que son confirmaciones auténticas de la computadora de firma de la cuenta del desarrollador. Entonces, si por algún milagro mi cuenta de 2 factores se vio comprometida y alguien la usó para enviar a github, no tendrían mi clave de firma de gpg y la confirmación no estaría firmada.
Entonces, ¿cómo sucedió el falso positivo?
Una teoría es que los antivirus tienen controles rápidos y completos. Una verificación rápida puede ser tan simple como comparar el hash del archivo con los hash de los archivos de malware conocidos. Una verificación completa en realidad analiza todos los archivos y no solo el hash. Por lo general, las comprobaciones rápidas se realizan en la descarga del archivo antes de descargarlo para evitar descargar un archivo malicioso por completo. Las comprobaciones completas se realizan en el archivo que ya se descargó.
Entonces, lo que podría haber sucedido hoy fue que las comprobaciones rápidas comenzaron a arrojar una advertencia de amenaza de malware porque el hash de DBM coincidía con otro archivo en Internet llamado «phpFgqPl8». Esto se llama colisión de hash y es básicamente una condición extremadamente rara. Es como ganar la lotería poco común. Sin embargo, sucede y en este caso eso es lo que causó la bandera falsa.
Los escaneos completos de archivos demostraron obviamente que 9.1.9 no contenía malware real. Puede leer el informe completo aquí: https://www.virustotal.com/gui/file/1f3520776f1931d8a2f37cbf0bff470cb67e9dcf9791f622cb6912d93b7b467a/detection Tenga en cuenta que si hace clic en los detalles, puede ver la coincidencia de hash con phpFgqPl8. Es lo que causó todo este lío.
Entonces, ¿qué hice al respecto?
Cuando ocurrió la detección, revisé inmediatamente todos los archivos en zip con un peine fino para asegurarme de que nada se deslizara desde bibliotecas de terceros o algo así y muchos otros ejecutaron archivos a través de escáneres en línea para asegurarse de que estuvieran limpios.
Cuando quedó claro que se trataba de una detección falsa, el archivo se envió inmediatamente a Microsoft para su revisión y ya han comenzado a corregir la bandera falsa, según me dijeron.
También estoy haciendo esta publicación para asegurarme, ya que incluso si las ventanas emergentes desaparecen después de la próxima actualización del defensor, MUCHOS usuarios vieron una ventana emergente aterradora y quieren saber por qué.
Voy a etiquetar una nueva versión (que tendrá un hash diferente) para eliminar la colisión de hash con ese otro archivo en Internet por si acaso.
Ese nuevo lanzamiento tendrá un mensaje único en el juego que se vinculará a esta publicación para que los usuarios que no sigan las redes sociales / discordia tengan la oportunidad de leerlo y estar informados sobre lo que sucedió. Esta publicación NO tiene un muro de pago y no es una solicitud de apoyo de ninguna manera. Es el mejor medio público que tengo para difundir este mensaje lo más rápido posible sin que los usuarios tengan que registrarse en discordia o leer un twit sin formato de texto.
Conclusión
Tenga la seguridad de que cuando apareció este problema, literalmente salté de la cama con solo 3 horas de sueño para lidiar con él de la manera más rápida y precisa posible para asegurarme de que no hubiera amenazas reales en el archivo y me aseguré de recibir notificaciones en las redes sociales lo antes posible. mientras preparo este mensaje más largo. La nueva versión (DBM 9.1.10) también saldrá poco después de esta publicación.
Actualización 1
Aparentemente, los usuarios que aún no han actualizado el archivo de definiciones de Windows Defender de MS continúan obteniendo falsos positivos en DBM 9.1.10, DBM 9.1.11 alphas y DBM 2.5.10 alphas. Al menos 4 complementos también se vieron afectados por esto hoy. También fueron falsos positivos por el mismo error. Todos estos falsos positivos se resuelven obligando a Windows Defender a actualizar a las últimas definiciones.
Para forzar una actualización, siga el artículo de microsofts aquí: https://www.microsoft.com/en-us/wdsi/defenderupdates
Alternativamente, puede simplemente ignorar los falsos positivos por ahora y esperar la próxima actualización automática del defensor, que resolverá las alertas automáticamente cada vez que ocurra la próxima actualización automática.
MysticalOS y otros autores de complementos se han comunicado con Microsoft para eliminar los falsos positivos y puede ver el resultado de su comunicación con Microsoft al respecto a continuación. Sin embargo, se necesitará una actualización para Windows Defender para que este problema se solucione allí.
