Microsoft Defender может быть прав, блокируя сценарии активации Microsoft (MAS)
На первый взгляд, эта история похожа на классический сбой в системе ИТ-безопасности. Несколько веб-сайтов сообщили, что Microsoft Defender внезапно начал блокировать оригинальные "Сценарии активации Microsoft" (MAS). Сообщение об ошибке, "Trojan:PowerShell/FakeMas.DA!MTB", указывало на то, что защитное ПО Microsoft принимает законный инструмент с открытым исходным кодом за одну из многочисленных копий вредоносного ПО, находящихся в обращении. Поскольку MAS - это решение сообщества для активации Windows и Office, а не официальный продукт Microsoft, многие сразу же заподозрили умысел - так сказать, блокировку черного хода.
However, we examined the situation more closely using the latest Defender updates on January 9, 2026, and were unable to reproduce the error. During our tests on multiple laptops, the original script executed via the known command irm https://get.activated.win | iex was processed through without Defender producing warnings. Our test network was preconfigured to use Cloudflare's DNS server at 1.1.1.1. Furthermore, we also tested slightly older Defender versions via VM backups done during the last three days. All of them passed without any false detections. This gives room for a different perspective. If Defender remains silent for us but flags the script for other users, explicitly warning of a "FakeMas" variant, the detection logic might actually be working exactly as intended.
Мы подозреваем, что это не ошибка со стороны Microsoft, а скорее проблема на сетевом уровне для затронутых пользователей. Правдоподобным объяснением могут быть ошибки DNS или даже целенаправленные DNS-атаки (DNS spoofing). Если разрешение домена было изменено для этих пользователей, то попытка получить доступ к якобы легитимному адресу на самом деле перенаправляет их на сервер, доставляющий вредоносную "поддельную" версию. В этом случае предупреждение Defender - это не ложное срабатывание, а законная, принятая в последнюю минуту мера спасения. Решение, предлагаемое некоторыми сайтами - временное отключение Defender - оставит дверь широко открытой для вредоносных программ или троянцев.
The fact that reports seem clustered in specific regions supports this theory. ISP-specific DNS issues or local redirections could be causing users to be unwittingly redirected to malware sites. Therefore, instead of hastily accusing Microsoft of negligence, affected users should urgently check their DNS settings. The script can also be retrieved by enforcing a specific DNS server. To do this, enter the following command: iex (curl.exe -s --doh-url https://1.1.1.1/dns-query https://get.activated.win | Out-String). If this resolves the issue, a faulty DNS configuration is likely the culprit.
Источники
