Comportement : détection Win32/Hive.ZY
Une récente détection de Windows Defender a fait sensation. Il y a eu plusieurs rapports au début de septembre 2022 concernant une détection que Defender a identifiée comme "Behavior:Win32/Hive.ZY" qui a suscité quelques inquiétudes.
La bonne nouvelle est que la détection est un faux positif qui a été introduit dans une mise à jour de Defender et qui a depuis été corrigé.
La première alerte a été déclenchée par une vague de détections faisant apparaître Behavior:Win32/Hive.ZY et le signalant comme une menace "sévère". Les utilisateurs essayant d'utiliser Defender pour nettoyer la menace découverte ont constaté que la même détection surgirait très peu de temps après l'avoir effacée.
Le faux positif était "lié à tous les navigateurs Web basés sur Chromium et les applications basées sur Electron comme Whatsapp, Discord, Spotify", selon un conseiller indépendant cité par WindowsCentral.
La détection de faux positifs a depuis été prise en charge avec la mise à jour du fichier de définition Windows Defender de 1.373.1508.0 à 1.373.1537.0.
Des faux positifs similaires ne sont pas rares, mais avec la fausse détection déclenchée à cause de quelque chose d'aussi commun que les implémentations basées sur le chrome et l'électron, cela a provoqué un beaucoup plus grand émoi qu'une détection aléatoire heuristique ou basée sur le comportement.