Windows Defender signale à tort les modules complémentaires WoW comme chevaux de Troie



Au cours des derniers jours, les utilisateurs ont été surpris que Windows Defender, l’antivirus par défaut de Windows, ait signalé les modules complémentaires WoW comme des menaces potentielles. Ces avertissements sont des faux positifs, vous pouvez le vérifier vous-même en effectuant une analyse complète de votre dossier addon, qui n’affichera aucune menace trouvée.

Ces avertissements ont été envoyés à quelques modules complémentaires WoW populaires tels que DBM, Mythic Dungeon Tools, Infinite Raid Tools, Leatrix et Grid. L’auteur DBM MysticalOS a publié un article très informatif expliquant la situation :

Plus tôt dans la journée, DBM 9.1.9 a commencé à recevoir de faux drapeaux en tant que malware. Une chose que je peux assurer, DBM n’aura jamais rien de tel et a des pratiques strictes pour éviter cela.

  1. DBM est hébergé publiquement pour que tous puissent le voir sur github ici : https://github.com/DeadlyBossMods/DeadlyBossMods
  2. Les fichiers zip/versions sont effectués via un processus automatisé sécurisé via un autre projet open source ici : https://github.com/BigWigsMods/packager . Je balise simplement une nouvelle version sur github et les actions github exécutent le packager pour générer des fichiers zip et les télécharger sur wow interface, curse et wago (en utilisant des fichiers directement à partir de github repo)
  3. Tous les commits effectués sur github sont même signés GPG et affichent un badge « vérifié » pour montrer qu’ils sont des commits authentiques de l’ordinateur de signature du compte développeur. Donc, si par miracle mon compte à 2 facteurs était compromis et que quelqu’un l’utilisait pour pousser vers github, ils n’auraient pas ma clé de signature gpg et le commit ne serait pas signé.

Alors comment s’est passé le faux positif ?

  • Les antivirus ont des vérifications rapides et des vérifications complètes. Une vérification rapide peut être aussi simple que de vérifier le hachage de fichier par rapport aux hachages de fichiers malveillants connus. Une vérification complète analyse en fait tous les fichiers et pas seulement le hachage. Généralement, des vérifications rapides sont effectuées lors du téléchargement du fichier avant que le fichier ne soit téléchargé pour éviter de télécharger un fichier malveillant dans son ensemble. Des vérifications complètes sont effectuées sur le fichier déjà téléchargé
  • Une théorie est que les antivirus ont des vérifications rapides et des vérifications complètes. Une vérification rapide peut être aussi simple que de vérifier le hachage de fichier par rapport aux hachages de fichiers malveillants connus. Une vérification complète analyse en fait tous les fichiers et pas seulement le hachage. Généralement, des vérifications rapides sont effectuées lors du téléchargement du fichier avant que le fichier ne soit téléchargé pour éviter de télécharger un fichier malveillant dans son ensemble. Des vérifications complètes sont effectuées sur le fichier déjà téléchargé.
  • Ce qui aurait pu se passer aujourd’hui, c’est que des vérifications rapides ont commencé à lancer un avertissement de menace de malware parce que le hachage de DBM correspondait au mash d’un autre fichier sur Internet nommé « phpFgqPl8 ». C’est ce qu’on appelle la collision de hachage et c’est fondamentalement une condition extrêmement rare. C’est comme gagner à la loterie rare. Cela arrive cependant et dans ce cas, c’est ce qui a causé le faux drapeau.
  • Les analyses complètes des fichiers ont clairement prouvé que la 9.1.9 ne contenait aucun logiciel malveillant. Vous pouvez lire le rapport complet ici : https://www.virustotal.com/gui/file/1f3520776f1931d8a2f37cbf0bff470cb67e9dcf9791f622cb6912d93b7b467a/detection Notez que si vous cliquez sur les détails, vous pouvez voir le hachage correspondre à phpFgqPl8. C’est ce qui a causé tout ce gâchis.

Alors qu’est-ce que j’ai fait à ce sujet ?

  • Lorsque la détection s’est produite, j’ai immédiatement examiné chaque fichier dans zip avec un peigne fin pour m’assurer que rien n’avait glissé de bibliothèques tierces ou quelque chose du genre et beaucoup d’autres ont passé le fichier à travers des scanners en ligne pour s’assurer qu’il était propre.
  • Quand il était clair qu’il s’agissait d’une fausse détection, le fichier a été immédiatement soumis à Microsoft pour examen et ils ont déjà commencé à corriger le faux drapeau, m’a-t-on dit.
  • Je fais également ce post pour rassurer car même si les popups disparaissent après la prochaine mise à jour du défenseur, BEAUCOUP d’utilisateurs ont vu une popup effrayante et veulent savoir pourquoi.
  • Je vais marquer une nouvelle version (qui aura un hachage différent) pour éliminer la collision de hachage avec cet autre fichier sur Internet pour faire bonne mesure.
  • Cette nouvelle version aura un message unique dans le jeu avec un lien vers ce message afin que les utilisateurs qui ne suivent pas les médias sociaux/discorde auront la chance de le lire et d’être informés de ce qui s’est passé. Ce message n’est PAS payant et ne sollicite en aucun cas de l’aide. C’est juste le meilleur moyen public que j’ai pour diffuser ce message le plus rapidement possible sans que les utilisateurs aient besoin de s’inscrire à Discord ou de lire un twit fatiguant les yeux plus longtemps sans texte formaté.

Conclusion

Soyez assuré que lorsque ce problème est apparu, j’ai littéralement sauté du lit avec seulement 3 heures de sommeil pour y faire face aussi rapidement et précisément que possible pour m’assurer qu’aucune menace réelle n’était dans le fichier et que je reçois des notifications sur les réseaux sociaux dès que possible. pendant que je prépare ce message plus long. La nouvelle version (DBM 9.1.10) sortira également peu de temps après cet article.

Mise à jour 1

Apparemment, les utilisateurs qui n’ont pas encore obtenu la mise à jour du fichier de définitions de Windows Defender de MS continuent d’obtenir des faux positifs sur DBM 9.1.10, DBM 9.1.11 alphas et DBM 2.5.10 alphas. Au moins 4 addons ont également été affectés par cela aujourd’hui. Ils étaient également des faux positifs par le même bug. Tous ces faux positifs sont résolus en forçant Windows Defender à mettre à jour les dernières définitions.

Pour forcer une mise à jour, suivez l’article de Microsoft ici : https://www.microsoft.com/en-us/wdsi/defenderupdates

Alternativement, vous pouvez simplement ignorer les faux positifs pour le moment et attendre la prochaine mise à jour automatique du défenseur qui résoudra automatiquement les alertes lors de la prochaine mise à jour automatique.

MysticalOS et d’autres auteurs de modules complémentaires ont contacté Microsoft pour supprimer les faux positifs et vous pouvez voir le résultat de leur communication avec Microsoft à ce sujet ci-dessous. Cependant, une mise à jour de Windows Defender sera nécessaire pour que ce problème y soit résolu.





Source : https://www.wowhead.com/news=323858/windows-defender-wrongly-flagging-wow-addons-as-trojans