Windows Defender está detectando archivo legítimos como troyanos

Windows 10

Recientemente se han recibido numerosos informes acerca de Windows Defender y como este ha estado detectando miles de archivos en diferentes ordenadores como Trojan:Win32/Bluteal.B!rfn.

Algunos archivos estaban efectivamente infectados (por ejemplo había mineros de CPU) pero también se han descubierto bastantes casos de falsos positivos, archivos legítimos de Windows o del usuario.

Detecciones de Trojan:Win32/Bluteal.B!rfn

Un ejemplo lo tenemos en la entrada publicada en este foro esta misma semana (24 de Junio) donde Windows Defender ha comenzado a detectar el citado troyano en la ruta de sistema:

C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.C26a36d2b#\daf01e12fa59ed340363c44b7deff15e\Microsoft.CertificateServices.PKIClient.Cmdlets.ni.dll

Las detecciones para el malware Trojan:Win32/Bluteal.B!rfn parecen haberse añadido a las firmas del antivirus para Windows en torno al 18 de Mayo, según se indica en el Windows Defender Bulletin Inteligence.

Trojan_Win32 Bluteal.Brfn

Al buscar casos similares, el investigador de Bleeping Computer Lawrence Abrams ha encontrado un buen número de informes de otros programas, librerías de Windows (DLLs) siendo detectadas como BluTeal tan pronto como a finales de Mayo.

Parece ser una definición heurística con poca concreción:

Esta amenaza puede realizar un número de acciones escogidas por un atacante malicioso en tu PC.

En reddit se inició esta semana un hilo en el que varios usuarios han estado reportando el mismo comportamiento en muchos sistemas operativos Windows 10 build 1803. Se ofrece una lista de programas y archivos que han sido detectados hasta el momento como el citado troyano BlueTeal.

C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.C26a36d2b#\daf01e12fa59ed340363c44b7deff15e\Microsoft.CertificateServices.PKIClient.Cmdlets.ni.dll
C:\Windows\assembly\NativeImages_v4.0.30319_32\Microsoft.Vde5ed89a#\457b4a4c20bed2246e03f1f9e5eaa1a5\Microsoft.VisualStudio.Utilities.Internal.ni.dll
ArchieSteamFarm.dll 
SPCB.exe (SharePoint Client Browser)
Oracle_VM_VirtualBox_Extension_Pack-5.2.12.vbox-extpack
AutoHotkey
mtrand.so

Es un falso positivo de Microsoft Windows Defender

Según ha respondido la empresa Microsoft al ser preguntada por Bleeping Computer, este hecho no es más que un falso positivo, algo frecuente en antivirus (en algunos más que en otros) y que de hecho valoramos en nuestra web a la hora de escoger el mejor motor antivirus.

El 26 Junio -suponiendo que tu Windows Defender esté al día con las firmas- se ha publicado una nueva versión de definiciones de virus (1.271.37.0) que solventa el problema.

En caso de que sigas teniendo este tipo de problemas, busca nuevas versiones de firmas. O bien, si no estás contento con Defender de Windows siempre puedes probar alguna opción de nuestra comparativa antivirus, así como aprovechar las ofertas de antivirus.codes.

Buscar nuevas definiciones

Para buscar actualizaciones para el antivirus incluido por defecto en Windows basta con acceder a:

  • Inicio > Configuración > Actualización y seguridad > Seguridad de Windows

O incluso más fácil. Si ves el icono de Defender en la barra de tareas, simplemente haz clic derecho y selecciona Buscar actualizaciones de Protección.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.