Инцидент с Tor

[MaFio]

В субботу 30 сен 2023 г. Microsoft детектировала tor.exe (0.4.7.15) как трояна (Win32/Malgent!MTB) и в настоящее время безоговорочно удаляет tor.exe в своих системах Windows по всему миру.

Обновленный tor.exe (0.4.7.15) автоматически получили все пользователи Tor Browser 26 сен 2023 в версии 12.5.5, а также 29 сен 2023 версии 12.5.6.

Каких-либо официальных комментариев от команды TorProject ни на форуме, ни в блоге на момент написания заметки нет.

 

[fadey_ldr]

 

[MaFio]

Посмотреть вложение 66963

В текушей ситуации (до разрешения инцидента) это правильный ход!

Вообще отключение автоматических обновлений программ может иметь как положительные, так и отрицательные стороны с точки зрения OpSec.

 

[int3]

Добавляйте в исключения, в чем проблема?

 

[TROUBLE]

Win32/Malgent!MTB - Это сигнатура дропперов

 

[MaFio]

Добавляйте в исключения, в чем проблема?

Если срабатывание ложно, это все равно уже вызвало проблемы или беспокойство среди пользователей Windows (Defender просто выносит tor.exe 0.4.7.15 из системы). С другой стороны, если это действительно истинная детекция, то никто не сможет лучше это сделать, чем команда Microsoft - ведущий поставщик одного из самых лучших антивирусных решений на сегодняшний день.
Кстати, атака на 3CX тоже начиналась подобным образом.

Можно, конечно, и плевать на важность тщательного обращения внимания на детекции и потенциальные угрозы, даже если они могут казаться ложными на первый взгляд ...

 

[Lawyer]

У меня просто перестал работать TOR браузер , сегодня переустановил его и все норм работает. Дефендер выключен.

 

[MaFio]

Инцидент был разрешен

TorProject, наконец-то, получил ответ от Microsoft:

В настоящее время отправленные файлы не соответствуют нашим критериям наличия вредоносных или потенциально нежелательных приложений. Обнаружение удалено. Выполните следующие действия, чтобы очистить кэшированные обнаружения и получить последние определения вредоносных программ.

1. Откройте командную строку от имени администратора и измените каталог на С:\Program Files\Windows Defender
2. Запустите «MpCmdRun.exe -removeddefinitions -dynamicsignatures».
3. Запустите «MpCmdRun.exe -SignatureUpdate».

Кроме того, последнюю версию определения можно загрузить здесь: Анализ безопасности антивирусной программы Microsoft Defender и обновления продуктов | Microsoft Обучение

Благодарим вас за обращение в Microsoft.

Благодаря последней базе данных сигнатур (1.397.1910.0) Защитник Windows больше не считает tor.exe трояном. Если ваш TorBrowser перестал работать в эти выходные, убедитесь, что ваш Защитник Windows обновлен, и либо отмените карантин tor.exe, либо переустановите TorBrowser, загрузив его с веб-сайта Tor Project, и не забудьте проверить подпись!

 

[ktpm23]

Проверил у себя и все работает. Ну и защитник виндус отключен.