Nieuws

Virusscanner beschouwt zichzelf als virus

donderdag 20 september 2012, 10:37 door Redactie, 7 reacties

Een foute update voor de virusscanner van Sophos heeft ervoor gezorgd dat de anti-virussoftware zichzelf en andere programma's als malware beschouwde, wat bij sommige instellingen ernstige gevolgen had. De false positive zorgde ervoor dat de virusscanner dacht dat allerlei bestanden, waaronder die van zichzelf, met de SHH/Updater-malware waren besmet. Het probleem deed zich voor met het update-component van het programma zelf, alsmede bij de updaters van andere software, zoals Adobe Flash, Oracle Java, Fujitsu AutoUpdater en Dell AutoUpdate Utilities.

Patiëntveiligheid
"Dit is veel ernstiger dan Sophos doet voorkomen", zegt een getroffen systeembeheerder. "Ik heb een reactie op hun bericht achtergelaten, maar dat bericht is niet goedgekeurd. Hopelijk kan ik mijn verhaal hier kwijt", zo laat de beheerder tegenover het Internet Storm Center weten.

Door de false positive werden bij een medische faciliteit waar hij werkt de auto-updaters van Adobe, Oracle, Fujitsu en Dell verwijderd, alsmede een DLL-bestand dat voor het updaten van elektronische patiëntendossiers wordt gebruikt.

"De afwezigheid van dit DLL-bestand voorkomt dat de applicatie wordt gestart en crasht elke keer als je hem wilt laden. Hierdoor kwam de patiëntveiligheid in gevaar", stelt de beheerder, die klaagt door al het werk dat de fout veroorzaakte. "Ik werk al 16 jaar in de IT en heb nog nooit een virus gezien dat zoveel schade veroorzaakte."

Update
Inmiddels is er een update uitgekomen die het probleem oplost, aldus de virusbestrijder. Die krijgt ook felle kritiek van gebruikers. Op de uitlegpagina over het probleem, hebben 915 klanten de uitleg met een 1,4 beoordeeld. Tweakers.net meldt dat

Ook Android-smartphone gehackt tijdens Pwn2Own

Friese vrouw verliest 3.000 euro door phishing

Reacties (7)

20-09-2012, 10:38 door Anoniem

Zeer handig.

20-09-2012, 10:50 door Anoniem

Ach mcafee heeft bij ons 2 keer meer dan 10.000 man off line gegooid.

Risico van het vak?

Elke verandering is een change-> testen->accepteren->beperkt doorvoeren

Nee hoor zet de autoupdate maar we vertrouwen het wel want het is goedkoper

Is het echt nodig ...vroeg de manager toen alles goed ging

Waarom hebben jullie het niet gezien vroeg dezelfde manager toen het fout ging.

Test het op zn minst op een paar ghostimages...tjezus...

10 minuten werk ..so what

20-09-2012, 11:26 door Anoniem

Sowieso zou ik:
* In principe geen gevoelige/kritieke informatie/programma's op een Windows-machine vertrouwen.
* Als ik dat al doe, ze read-only maken tenzij in update-mode.
* Niets automatisch laten verwijderen, maar hard laten gillen als er een detectie is.
* Nooit automatisch updaten op kritieke servers.

20-09-2012, 12:14 door [Account Verwijderd]

[Verwijderd]

20-09-2012, 12:32 door Booze

Door Anoniem: Sowieso zou ik:
* In principe geen gevoelige/kritieke informatie/programma's op een Windows-machine vertrouwen.
* Als ik dat al doe, ze read-only maken tenzij in update-mode.
* Niets automatisch laten verwijderen, maar hard laten gillen als er een detectie is.
* Nooit automatisch updaten op kritieke servers.

Tuurlijk, en die windows client kan jouw kritieke data op een linux server natuurlijk niet via netwerkshares besmetten ofzo..

Automatisch laten verwijderen doe ik inderdaad ook niet, hier begint het serverpark te bleren als er wat gedetecteerd wordt, en onze updates gaan centraal, maar niet automatisch, ik druk zelf op de de update knop..

Door Anoniem: Ach mcafee heeft bij ons 2 keer meer dan 10.000 man off line gegooid.
Risico van het vak?
Elke verandering is een change-> testen->accepteren->beperkt doorvoeren
Nee hoor zet de autoupdate maar we vertrouwen het wel want het is goedkoper
Is het echt nodig ...vroeg de manager toen alles goed ging
Waarom hebben jullie het niet gezien vroeg dezelfde manager toen het fout ging.
Test het op zn minst op een paar ghostimages...tjezus...
10 minuten werk ..so what

hahaha, klinkt bekend... hier was het over de mailserver:

Manager: Pfff, dat voorstel van je is veel te duur, deze doet het nog dus die houden we.
2 weken later miste hij e-mails: Waarom komen die niet binnen??
Ik: Omdat een nieuwe server te duur was.

PS PeterV: Heb je norton er ook bij staan? Vroeger was het hier elke vrijdag ongehoord druk omdat Symantec op donderdag de updates voor Internet Security gereleased had, en onze klanten dus niet meer op internet konden :P

20-09-2012, 15:57 door Anoniem

Kijk het probleem is dit:
Bij nieuwe versies van applicaties wordt er een testomgeving opgezet, wordt er getest door applicatie beheer en de gebruikers, volgt er een formele acceptatie en gaat het pakket naar productie.
Bij security updates van Windows enzo wordt er een dagje gewacht, wordt er een machine geupdate, wordt er mee getest en de rest van de machines geupdate, en is er een rollback scenario voor het geval er toch problemen zijn.

En dan is er de virus scanner. Die wordt 6 keer per dag geupdate zonder enige test en als er wat fout gaat ligt meteen de hele toko op zijn bek. Als je mazzel hebt zitten de foute bestanden in de quarantaine en kun je ze vanaf het beheer console laten restoren, maar voor hetzelfde geld booten je machines niet meer en moet je safe mode of zelfs resque CD's bij al je werkstations gaan toepassen.
Ik heb me hierover binnen de organisatie ook al eens bezorgd uitgelaten, maar meer dan dat is er helaas niet echt te doen.

In feite leg je gewoon je hele ziel en zaligheid in handen van een virus scanner leverancier. En helaas hebben met name de groten de laatste tijd laten zien dat ze dit vertrouwen niet altijd waard zijn.

24-09-2012, 08:11 door sjonniev

Het blijkt zo te zijn dat alleen klanten die met hun instellingen afweken van de adviezen van Sophos in de problemen zijn geraakt.

Iedereen die Live Protection aan heeft en niet-repareerbare bestanden op "Deny Access Only" heeft staan hoefde alleen maar de alerts te bevestigen. De andere mogelijkheden (delete, move) zitten er in op verzoek (ex-)gebruikers van andere pakketten, die dat blijkbaar zo gewend waren...

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Mijn NAS bevat een backdoor. Is de fabrikant aansprakelijk?

17-04-2024 door Arnoud Engelfriet

Juridische vraag: Ik zit met het volgende. Ik heb dus een D-Link NAS waar een backdoor account in aanwezig is. Nu begrijp ik ...

9 reacties

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

WhatsApp moet open van Europa en dat kan veilig, maar kent ook risico’s

10-04-2024 door Arnoud Engelfriet

Juridische vraag: Diverse media meldden dat WhatsApp van de Europese Unie haar dienst moet openstellen voor andere apps, zoals ...

12 reacties

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Virusscanner beschouwt zichzelf als virus

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren