После очередного обновления Microsoft Defender стал идентифицировать Google Chrome, Microsoft Edge, Discord и другие приложения Electron в качестве ransomware Hive каждый раз, когда они открываются в Windows.
Проблема началась в воскресенье утром, когда Microsoft выпустила обновление сигнатуры Защитника 1.373.1508.0 (
https://www.microsoft.com/en-us/wdsi/definitions/antimalware-definition-release-notes?requestVersion=1.373.1508.0), включающее два новых обнаружения угроз, в том числе (
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Hive.ZY&ThreatID=2147830806) Behavior:Win32/Hive.ZY.
Согласно BornCity (
https://borncity.com/win/2022/09/04/windows-defender-meldet-flschlich-behaviourwin32-hive-zy-4-9-2022/), ложные срабатывания охватили достаточно большое число пользователей, заполонивших сообщениями Twitter (
https://twitter.com/search?q=Win32%2FHive.ZY&src=typed_query&f=live) и Reddit (
https://www.reddit.com/r/antivirus/comments/x5ij97/all_electronbased_apps_and_chrome_detected_as/).
Не спасает и то, что с тех пор Microsoft выпустила уже два новых обновления для Microsoft Defender, последнее из которых — 1.373.1518.0 хоть и не должно отображать ложные обнаружения Win32/Hive.ZY, тем не менее, пользователи продолжают получать ложные срабатывания (
https://www.reddit.com/r/computerviruses/comments/x5idjw/comment/in27yix/?utm_source=share&utm_medium=web2x&context=3).
Традиционно, победить проблему Microsoft удалось после выпуска, патча на патч, повторив эту итерацию дважды.
Обновление аналитики безопасности Microsoft Defender версии 1.373.1537.0 устранило ложные срабатывания Win32/Hive.ZY, а возможно, и что-то еще.