O Microsoft Defender pode estar certo ao bloquear o Microsoft Activation Scripts (MAS)
À primeira vista, a história parecia uma falha clássica de segurança de TI. Vários sites informaram que o Microsoft Defender havia começado a bloquear repentinamente os "Microsoft Activation Scripts" (MAS) originais. A mensagem de erro, "Trojan:PowerShell/FakeMas.DA!MTB", sugeria que o software de segurança da Microsoft estava confundindo a ferramenta legítima de código aberto com uma das muitas cópias de malware em circulação. Como o MAS é uma solução comunitária para ativar o Windows e o Office, e não um produto oficial da Microsoft, muitos suspeitaram imediatamente de uma intenção deliberada - um bloqueio de backdoor, por assim dizer.
However, we examined the situation more closely using the latest Defender updates on January 9, 2026, and were unable to reproduce the error. During our tests on multiple laptops, the original script executed via the known command irm https://get.activated.win | iex was processed through without Defender producing warnings. Our test network was preconfigured to use Cloudflare's DNS server at 1.1.1.1. Furthermore, we also tested slightly older Defender versions via VM backups done during the last three days. All of them passed without any false detections. This gives room for a different perspective. If Defender remains silent for us but flags the script for other users, explicitly warning of a "FakeMas" variant, the detection logic might actually be working exactly as intended.
Suspeitamos que não se trata de um erro da Microsoft, mas sim de um problema no nível da rede para os usuários afetados. Uma explicação plausível seria erros de DNS ou até mesmo ataques de DNS direcionados (DNS spoofing). Se a resolução de domínio tiver sido manipulada para esses usuários, a tentativa de acessar o endereço supostamente legítimo na verdade os desvia para um servidor que fornece uma versão "falsa" maliciosa. Nesse cenário, o aviso do Defender não é um falso positivo, mas uma medida de resgate legítima e de última hora. A solução sugerida por alguns sites - desativar temporariamente o Defender - deixaria a porta aberta para malware ou cavalos de Troia.
The fact that reports seem clustered in specific regions supports this theory. ISP-specific DNS issues or local redirections could be causing users to be unwittingly redirected to malware sites. Therefore, instead of hastily accusing Microsoft of negligence, affected users should urgently check their DNS settings. The script can also be retrieved by enforcing a specific DNS server. To do this, enter the following command: iex (curl.exe -s --doh-url https://1.1.1.1/dns-query https://get.activated.win | Out-String). If this resolves the issue, a faulty DNS configuration is likely the culprit.
Fontes
