吳明宜Windows 防毒軟體 Microsoft Defender 防毒軟體本周末將最新版 Tor 瀏覽器判定為惡意程式而將之刪除,直到周日才停下殺手。
以 Firefox 為基礎的 Tor 瀏覽器是提供網上匿名常用的工具,很受記者、異議人士或重視隱私的人士歡迎。上周因應 Chromium 最新漏洞,Firefox 釋出最新版 115.3.1,對應 Tor 版本為 12.5.6 。
不過上周六 (9/30) 起有 Tor 用戶反映,Windows PC 的 Microsoft Defender 會將 Tor 或是其中的 tor.exe 0.4.7.15 版檔案標示為木馬程式 Win32/Malgent!MTB,隨即將之隔離,並告知用戶將自動刪除。
誤判情況持續到 10 月 1 日。周一,Tor 管理員終於接獲微軟回應。微軟說明,經過檢查,上傳的樣本檔案並不符合該公司對惡意程式或垃圾應用程式的評判標準。目前這項偵測已經移除。
微軟也提供用戶清理快取偵測,取得最新惡意程式定義檔的方法。方法是開啟指令提示視窗,輸入 c:\Program Files\Windows Defender,再執行「MpCmdRun.exe -removedefinitions -dynamicsignatures 及」「MpCmdRun.exe -SignatureUpdate」。或是在此下載最新病毒定義檔。此後,用戶可自 Tor 專案網站重新安裝 Tor 瀏覽器
是什麼造成 Defender 誤判呢?網友表示,可能和 Tor 專案最新加入可防止分散式阻斷服務攻擊的 PoW (proof-of-work) 技術有關, 也可能是 Defender 的通用型啟發式偵測技術出錯。
這是 Defender 近年最新一次誤判。去年這套微軟防毒程式也曾將 Edge 、 Chrome 、和 Office 文件檔誤判為惡意程式。
來源: The Register