近期有不少 Win10 22H2 版本的用户因更新 KB5034203、KB5034763 等补丁导致 Explorer.exe (资源管理器) 被火绒杀毒软件当病毒给杀了,火绒官方也表示:该问题已于 2024 年 1 月 12 日紧急升级病毒库解决,为避免您遇到相同问题,请尽快升级火绒病毒库版本。
如果你已经遇到此问题,火绒官方也给出了解决方法,就是利用 sfc 命令来恢复 Explorer.exe,并把资源管理器文件加入火绒的白名单,具体说明和操作看官方教程:
火绒公告:https://bbs.huorong.cn/thread-136360-1-1.html
但实际上这次火绒误杀 Explorer.exe 文件,属于完全躺抢,B站 @epcdiy 联合 @边亮_网络安全,发视频独家解密火绒误杀系统文件背后的真相。
独家解密视频:https://www.bilibili.com/video/BV1TA4m137zw
微软更新的 KB5034203、KB5034763 等补丁同时更新了 Explorer.exe,在资源管理器里面添加了针对中国地区的 360 安全卫士进行进程枚举,这才导致火绒会提示检测到了 hijacking 病毒。
简单理解就是微软更新的 Explorer.exe 加入了监控代码,如果是中国地区 + 360 进程,那么 Explorer.exe 时间戳设置成了 2085 年,导致火绒误认为被植入了木马,所以这波火绒背锅了。
这意味着微软更新的资源管理器进程夹带私货,并且这段代码是专门针对中国,如果地区是 CN 就会打开 ETW 日志,监控 360 软件运行情况。
视频中还提到 @边亮_网络安全提前发现了这个事情,在微软推开更新之前,360 就增加了规则避免误杀。
那么微软这么做的动机是什么?在知乎上有用户@B166ER 表示 360 会杀掉 Windows 内置广告弹窗,所以在 Explorer 中加入了反向劫持 360 的代码,以逃避广告弹窗检测。
