Thêm chiêu trò bẩn của Microsoft: sử dụng Win Defender báo động dởm khẳng định máy bị dính trojan độc hại

[trungthuc]

Windows 11 bổng nhiên lên tiếng báo động dởm cho rằng máy tính đã dính Trojan độc hại hàng loạt do Win Defender thông báo "có virus ngay cả với ISO chính thức"!

Gần đây, có không ít người tiêu dùng khi mở máy tính lên, đã bị một phen bị hoảng hốt. Win Defender được kết hợp sẵn trong hệ thống bất ngờ hiển thị ra lời báo động bảo mật rất đáng sợ: Máy tính đã bị nhiễm một loại Trojan nguy hiểm có tên là "Trojan:Win32/Cerdigent.A!dha".


Rốt cuộc chuyện gì đang xảy ra ở đây?

Gần đây có rất nhiều người sử dụng Windows 11 có phản ảnh ra cho biết, Win Defender liên tục bật lên lời cảnh cáo về mối đe dọa từ Trojan Win32/Cerdigent.A!dha.

Vấn đề này đã tập trung bùng phát lên chỉ trong thời gian ngắn, gây ra chú ý rộng rãi trong giới người đang sử dụng hệ thống Windows và lĩnh vực bảo vệ an ninh mạng.

Theo thông tin do Microsoft công bố ra, loại Trojan này được Win Defender đưa vào phạm vi đã phát hiện ra lần đầu tiên vào ngày 30/4/2026. Tin chính thức này đã đánh giá loại trojan độc hại này chiếm quyền kiểm soát hệ thống rất cao, kẻ tấn công có thể lợi dụng để cho thực hiện nhiều hành vi độc hại trên thiết bị của nạn nhân. Đối tượng bị nhắm đến không phải là file thông thường mà là mô-đun chứng chỉ gốc RootCert của hệ thống.

Phía Microsoft cũng cảnh cáo rằng Trojan này có thể gây ra sự suy giảm hiệu năng trong hệ thống, thay đổi sự thiết lập trên desktop, gây giật lag, làm đứng máy, thậm chí còn làm cho dung lượng lưu trữ bị giảm bất thường. Tuy nhiên, cho đến hiện tại, Microsoft vẫn chưa công bố chi tiết kỹ thuật có liên quan đến loại virus này.

Do các lời báo động tương tự thấy xuất hiện ra dày đặc chỉ trong một thời gian ngắn ngủi, rất nhiều người đã đặt câu hỏi trên cộng đồng Q & A chính thức của Microsoft, nhưng không thể xác định liệu đây có phải là một cuộc tấn công Trojan thực sự hay chỉ là hiện tượng thông báo nhầm lẩn trên diện rộng của phần mềm diệt virus.

Trước những sự nghi vấn này, Microsoft vẫn chưa đưa ra hồi âm chính thức. Hệ thống hỗ trợ cộng đồng chỉ cung cấp quy trình xử lý theo tiêu chuẩn: một mặt khuyến cáo người tiêu dùng chú ý đến các lời báo động về bảo mật, mặt khác cho biết nếu xác nhận file bị đánh dấu là an toàn, có thể gửi hash hoặc mẫu file qua nơi báo cáo về mã độc của Microsoft để cho chuyên gia sẽ kiểm tra qua thủ công.

Trước sự việc này, trang kỹ thuật HKEPC (Hong Kong) đã tiến hành cho thử nghiệm trên thực tế. HKEPC đã cho cài lại mới hoàn toàn phiên bản 25H2 sạch của Windows 11 , không bỏ thêm bất cứ phần mềm bên thứ ba nào. Kết quả cho thấy, chỉ cần cho cập nhật cơ sở số liệu virus mới nhất của Win Defender, hệ thống lập tức thấy xuất hiện lời báo động: "máy bị dính Trojan Win32/Cerdigent.A!dha".

Điều này đồng nghĩa với việc ngay cả bản ISO hệ điều hành gốc, được tải xuống từ trang web chính thức của Microsoft cũng sẽ đưa ra lời báo động "dởm" này!

Tính đến thời điểm bài viết, Microsoft vẫn chưa đưa ra kết luận chính thức về việc tung ra lời báo động trên diện rộng này. Các phương tiện truyền thông cũng chưa thể xác định đây là một đợt lây nhiễm Trojan với quy mô lớn hay chỉ là lỗi thông báo nhầm lẩn của Win Defender.

Cuối cùng, với những người đang gặp vấn đề trục trặc này, xin đưa ra một số khuyến cáo thực tế:

- Đừng nên hoảng loạn. Nếu bạn không tải xuống file lạ hay truy cập website đáng ngờ, khả năng cao đây là báo động nhầm lẩn đáng tiếc. Tuyệt đối không tự ý xóa các file quan trọng trong hệ thống để tránh gây ra sập hệ thống.
- Không nên vội vàng cho cài lại mới hệ điều hành. Thử nghiệm cho thấy việc cài lại mới cũng không giải quyết được vấn đề, chỉ tốn công vô ích.
- Không tự ý thay đổi các thiết lập có liên quan đến chứng chỉ gốc của hệ thống, tránh gây ra thêm lỗi không thể khắc phục.
- Theo dõi sát các bản cập nhật mới từ Microsoft. Khi bản vá hoặc cập nhật về cơ sở dữ kiện virus được cho phát hành, chỉ cần cập nhật là có thể giải quyết ra vấn đề.
- Nếu bị báo động gây phiền toái quá nhiều, có thể tạm thời cho tắt ứng dụng bảo vệ thời gian trên thực tế của Win Defender. Tuy nhiên không nên tắt lâu dài, và cần cho bật lại ngay khi có bản sửa lỗi chính thức.

Là hệ điều hành Windows có mặt trên desktop với số lượng người tiêu dùng lớn nhất thế giới, mỗi sự biến động về vấn đề bảo mật của Windows đều có ảnh hưởng ít nhiều đến hàng trăm triệu người.
Sự kiện báo động trên diện rộng lần này, dù là lỗi thông báo nhầm lẩn hay mối đe dọa thực sự, Microsoft đều cần phải đưa ra một câu trả lời rõ ràng cho người tiêu dùng.

Cập nhật mới nhất
Cuối cùng, Microsoft đã xác nhận đây chỉ là một đợt "thông báo nhầm lẩn", đồng thời gửi lời xin lỗi vì đã gây ra sự hoảng loạn trên diện rộng.

Qua tìm hiểu, nguyên nhân của sự việc này là do cơ quan cấp chứng chỉ DigiCert bị để lộ khóa mật mả cho hacker. Điều này đã khiến cho "cơ chế bảo vệ của Microsoft trở nên "quá tay", dẫn đến hàng loạt lời báo động sai lầm đáng trách".

Cụ thể hơn, một thiết bị của nhân viên hỗ trợ tại DigiCert đã bị hacker xâm nhập vào. Từ đó, kẻ tấn công đã lấy được một phần khóa riêng của chứng chỉ ký mã của khách hàng, sau đó sử dụng các khóa này để ký hợp pháp cho nhiều phần mềm độc hại. Để hạn chế mức thiệt hại, DigiCert đã khẩn cấp cho thu hồi khoảng 60 chứng chỉ đã bị ảnh hưởng vào giữa tháng 4 vừa qua.

Tuy nhiên, vì lý do an toàn (?), Microsoft đã gán các đặc trưng phần mềm có liên quan đến những chứng chỉ này thành mã độc Trojan:Win32/Cerdigent.A!dha. Vấn đề nằm ở chỗ: trong nhiều năm qua, rất nhiều công ty sáng tạo ra phần mềm đã sử dụng chính các chứng chỉ này để ký cho chương trình hợp pháp của họ. Khi chứng chỉ bị cho thu hồi, những phần mềm hợp pháp đã được cho cài đặt trên máy tính toàn cầu bỗng nhiên bị Win Defender coi là "Trojan độc hại"!

Ngoài ra, nhiều công ty phần mềm và người tiêu dùng bị ảnh hưởng còn phản ảnh ra cho biết, không chỉ các chứng chỉ có liên quan đến DigiCert, mà thậm chí một số chứng chỉ không có liên quan, kể cả chứng chỉ của chính hệ thống Windows, cũng bị nhận diện là "mã độc" và bị Win Defender cho cách ly hoặc xóa bỏ ra.

Microsoft có hồi âm cho biết, họ đã nhận thấy khả năng nhận diện và đánh giá của Win Defender đang quá "hung hăng", và hiện đang tiến hành cho điều chỉnh để bảo đảm rằng, hệ thống có thể nhận diện chính xác hành vi độc hại thực sự, thay vì chỉ dựa vào việc chứng chỉ bị thu hồi để đưa ra kết luận tầm bậy cho là virus độc hại.

Tính đến thời điểm này, Microsoft cho biết hiện tượng ngoài ý muốn này đã được cho khắc phục trong bản cập nhật cơ sở dữ kiện bảo mật Security Intelligence Update 1.449.430.0 hoặc mới hơn. Người ta có thể vào Windows Security > Virus & Threat Protection > Protection Updates, sau đó chọn Check for updates để cho cập nhật qua thủ công.

** Tham khảo thêm ở đây:
- https://www.bleepingcomputer.com/new...cerdigentadha/
- https://www.neowin.net/news/microsof...pcs-worldwide/
- https://learn.microsoft.com/en-us/an...erdigent-a-dha

Tham khảo thêm ở đây:

Theo chuyên gia an ninh mạng Florian Roth, Microsoft đã cho cập nhật cơ sở dữ kiện virus của Win Defender vào ngày 30/4, chủ yếu nhằm bổ sung quy tắc phát hiện có liên quan đến trục trặc bảo mật DigiCert trước đó, để ngăn chặn việc hacker sử dụng chứng chỉ bị đánh cắp để ký phần mềm độc hại tung lên mạng.

Tuy nhiên, do Win Defender nhận diện quá tệ lậu, hai chứng chỉ hợp pháp "gốc" của DigiCert trong hệ thống Windows 11 đã bị "dính đạn oan ức". Theo hồi âm từ nhiều người sử dụng Win 11, các chứng chỉ bị nhận diện nhầm lẩn bao gồm:

0563B8630D62D75ABBC8 AB1E4BDFB5A899B24D43
DDFB16CD4931C973A203 7D3FC83A4D7D775D05E4

Kết quả là Win Defender đã tự động đưa hai chứng chỉ gốc quan trọng này vào cách ly, thậm chí cho xóa bỏ trực tiếp. Khóa registry tương ứng như sau:

HKLM\SOFTWARE\Micros oft\SystemCertificat es\AuthRoot\Certific ates

Một số người có máy bị ảnh hưởng cho biết họ gặp lỗi không thể truy cập vào website, ứng dụng báo lỗi liên tục và bất thường. Thậm chí có người tưởng rằng máy bị nhiễm virus nặng nên đã cho cài lại mới hệ điều hành. Tuy nhiên, theo thử nghiệm thực tế từ một số trang mạng truyền thông, ngay cả hệ thống Windows 11 cho cài lại mới hoàn toàn cũng vẫn thấy xuất hiện lời báo động quái ác này và nay được MS xác nhận đây chỉ là hiện tượng báo động nhầm lẩn đáng tiếc.

Phía Microsoft trả lời:
"Sau khi nhận được thông báo có liên quan đến chứng chỉ ký số bất hợp pháp, chúng tôi đã nhanh chóng cho bổ sung thêm cơ cấu phát hiện trong Win Defender để bảo đảm an toàn cho người tiêu dùng. Tuy nhiên, vào đầu ngày hôm nay, chúng tôi xác nhận cơ cấu nhận diện này đã bị kích hoạt sai và hiện đã được cho điều chỉnh".

Microsoft cho biết, vấn đề này hiện đã được cho khắc phục trong bản cập nhật cơ sở dữ kiện bảo mật Security Intelligence 1.449.430.0. Theo mặc định, Win Defender sẽ tự động cài đặt các bản cập nhật này.