Nieuws

Virusscanner beschouwt zichzelf als virus

donderdag 20 september 2012, 10:37 door Redactie, 7 reacties

Een foute update voor de virusscanner van Sophos heeft ervoor gezorgd dat de anti-virussoftware zichzelf en andere programma's als malware beschouwde, wat bij sommige instellingen ernstige gevolgen had. De false positive zorgde ervoor dat de virusscanner dacht dat allerlei bestanden, waaronder die van zichzelf, met de SHH/Updater-malware waren besmet. Het probleem deed zich voor met het update-component van het programma zelf, alsmede bij de updaters van andere software, zoals Adobe Flash, Oracle Java, Fujitsu AutoUpdater en Dell AutoUpdate Utilities.

Patiëntveiligheid
"Dit is veel ernstiger dan Sophos doet voorkomen", zegt een getroffen systeembeheerder. "Ik heb een reactie op hun bericht achtergelaten, maar dat bericht is niet goedgekeurd. Hopelijk kan ik mijn verhaal hier kwijt", zo laat de beheerder tegenover het Internet Storm Center weten.

Door de false positive werden bij een medische faciliteit waar hij werkt de auto-updaters van Adobe, Oracle, Fujitsu en Dell verwijderd, alsmede een DLL-bestand dat voor het updaten van elektronische patiëntendossiers wordt gebruikt.

"De afwezigheid van dit DLL-bestand voorkomt dat de applicatie wordt gestart en crasht elke keer als je hem wilt laden. Hierdoor kwam de patiëntveiligheid in gevaar", stelt de beheerder, die klaagt door al het werk dat de fout veroorzaakte. "Ik werk al 16 jaar in de IT en heb nog nooit een virus gezien dat zoveel schade veroorzaakte."

Update
Inmiddels is er een update uitgekomen die het probleem oplost, aldus de virusbestrijder. Die krijgt ook felle kritiek van gebruikers. Op de uitlegpagina over het probleem, hebben 915 klanten de uitleg met een 1,4 beoordeeld. Tweakers.net meldt dat

Ook Android-smartphone gehackt tijdens Pwn2Own

Friese vrouw verliest 3.000 euro door phishing

Reacties (7)

20-09-2012, 10:38 door Anoniem

Zeer handig.

20-09-2012, 10:50 door Anoniem

Ach mcafee heeft bij ons 2 keer meer dan 10.000 man off line gegooid.

Risico van het vak?

Elke verandering is een change-> testen->accepteren->beperkt doorvoeren

Nee hoor zet de autoupdate maar we vertrouwen het wel want het is goedkoper

Is het echt nodig ...vroeg de manager toen alles goed ging

Waarom hebben jullie het niet gezien vroeg dezelfde manager toen het fout ging.

Test het op zn minst op een paar ghostimages...tjezus...

10 minuten werk ..so what

20-09-2012, 11:26 door Anoniem

Sowieso zou ik:
* In principe geen gevoelige/kritieke informatie/programma's op een Windows-machine vertrouwen.
* Als ik dat al doe, ze read-only maken tenzij in update-mode.
* Niets automatisch laten verwijderen, maar hard laten gillen als er een detectie is.
* Nooit automatisch updaten op kritieke servers.

20-09-2012, 12:14 door [Account Verwijderd]

[Verwijderd]

20-09-2012, 12:32 door Booze

Door Anoniem: Sowieso zou ik:
* In principe geen gevoelige/kritieke informatie/programma's op een Windows-machine vertrouwen.
* Als ik dat al doe, ze read-only maken tenzij in update-mode.
* Niets automatisch laten verwijderen, maar hard laten gillen als er een detectie is.
* Nooit automatisch updaten op kritieke servers.

Tuurlijk, en die windows client kan jouw kritieke data op een linux server natuurlijk niet via netwerkshares besmetten ofzo..

Automatisch laten verwijderen doe ik inderdaad ook niet, hier begint het serverpark te bleren als er wat gedetecteerd wordt, en onze updates gaan centraal, maar niet automatisch, ik druk zelf op de de update knop..

Door Anoniem: Ach mcafee heeft bij ons 2 keer meer dan 10.000 man off line gegooid.
Risico van het vak?
Elke verandering is een change-> testen->accepteren->beperkt doorvoeren
Nee hoor zet de autoupdate maar we vertrouwen het wel want het is goedkoper
Is het echt nodig ...vroeg de manager toen alles goed ging
Waarom hebben jullie het niet gezien vroeg dezelfde manager toen het fout ging.
Test het op zn minst op een paar ghostimages...tjezus...
10 minuten werk ..so what

hahaha, klinkt bekend... hier was het over de mailserver:

Manager: Pfff, dat voorstel van je is veel te duur, deze doet het nog dus die houden we.
2 weken later miste hij e-mails: Waarom komen die niet binnen??
Ik: Omdat een nieuwe server te duur was.

PS PeterV: Heb je norton er ook bij staan? Vroeger was het hier elke vrijdag ongehoord druk omdat Symantec op donderdag de updates voor Internet Security gereleased had, en onze klanten dus niet meer op internet konden :P

20-09-2012, 15:57 door Anoniem

Kijk het probleem is dit:
Bij nieuwe versies van applicaties wordt er een testomgeving opgezet, wordt er getest door applicatie beheer en de gebruikers, volgt er een formele acceptatie en gaat het pakket naar productie.
Bij security updates van Windows enzo wordt er een dagje gewacht, wordt er een machine geupdate, wordt er mee getest en de rest van de machines geupdate, en is er een rollback scenario voor het geval er toch problemen zijn.

En dan is er de virus scanner. Die wordt 6 keer per dag geupdate zonder enige test en als er wat fout gaat ligt meteen de hele toko op zijn bek. Als je mazzel hebt zitten de foute bestanden in de quarantaine en kun je ze vanaf het beheer console laten restoren, maar voor hetzelfde geld booten je machines niet meer en moet je safe mode of zelfs resque CD's bij al je werkstations gaan toepassen.
Ik heb me hierover binnen de organisatie ook al eens bezorgd uitgelaten, maar meer dan dat is er helaas niet echt te doen.

In feite leg je gewoon je hele ziel en zaligheid in handen van een virus scanner leverancier. En helaas hebben met name de groten de laatste tijd laten zien dat ze dit vertrouwen niet altijd waard zijn.

24-09-2012, 08:11 door sjonniev

Het blijkt zo te zijn dat alleen klanten die met hun instellingen afweken van de adviezen van Sophos in de problemen zijn geraakt.

Iedereen die Live Protection aan heeft en niet-repareerbare bestanden op "Deny Access Only" heeft staan hoefde alleen maar de alerts te bevestigen. De andere mogelijkheden (delete, move) zitten er in op verzoek (ex-)gebruikers van andere pakketten, die dat blijkbaar zo gewend waren...

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer