Microsoft Defender kan ha rätt att blockera Microsoft Activation Scripts (MAS)

Microsofts försvarare blockerar MAS (inklusive skärmdump från Powerm1nt via X)

Rapporter sprids om att Microsoft Defender blockerar det populära community-verktyget MAS och flaggar det som falskt. Däremot visar våra egna tester att skriptet fungerar felfritt. Har drabbade användare kanske fallit offer för DNS-manipulation?

Marc Herter (översatt av Ninh Duy), Publicerad 01/10/2026 🇺🇸 🇩🇪

Vid första anblicken lät det som ett klassiskt IT-säkerhetsmisslyckande. Flera webbplatser rapporterade att Microsoft Defender plötsligt hade börjat blockera de ursprungliga "Microsoft Activation Scripts" (MAS). Felmeddelandet, "Trojan:PowerShell/FakeMas.DA!MTB", antydde att Microsofts säkerhetsprogram misstog det legitima open source-verktyget för en av de många kopiorna av skadlig kod som finns i omlopp. Eftersom MAS är en community-lösning för att aktivera Windows och Office snarare än en officiell Microsoft-produkt, misstänkte många omedelbart avsiktlig avsikt - en bakdörrblockad, så att säga.

However, we examined the situation more closely using the latest Defender updates on January 9, 2026, and were unable to reproduce the error. During our tests on multiple laptops, the original script executed via the known command irm https://get.activated.win | iex was processed through without Defender producing warnings. Our test network was preconfigured to use Cloudflare's DNS server at 1.1.1.1. Furthermore, we also tested slightly older Defender versions via VM backups done during the last three days. All of them passed without any false detections. This gives room for a different perspective. If Defender remains silent for us but flags the script for other users, explicitly warning of a "FakeMas" variant, the detection logic might actually be working exactly as intended.

Vi misstänker att detta inte är ett fel från Microsofts sida, utan snarare ett problem på nätverksnivå för de berörda användarna. En rimlig förklaring skulle kunna vara DNS-fel eller till och med riktade DNS-attacker (DNS-spoofing). Om domänupplösningen har manipulerats för dessa användare, omdirigeras försök att komma åt den förment legitima adressen faktiskt till en server som levererar en skadlig "falsk" version. I det här scenariot är Defender-varningen inte ett falskt positivt resultat, utan en legitim räddningsåtgärd i sista minuten. Den lösning som föreslås av vissa webbplatser - att tillfälligt inaktivera Defender - skulle lämna dörren vidöppen för skadlig kod eller trojaner.

The fact that reports seem clustered in specific regions supports this theory. ISP-specific DNS issues or local redirections could be causing users to be unwittingly redirected to malware sites. Therefore, instead of hastily accusing Microsoft of negligence, affected users should urgently check their DNS settings. The script can also be retrieved by enforcing a specific DNS server. To do this, enter the following command: iex (curl.exe -s --doh-url https://1.1.1.1/dns-query https://get.activated.win | Out-String). If this resolves the issue, a faulty DNS configuration is likely the culprit.