Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 103, views: 26.479 •
Submitter: FreeRider

De antimalwaresoftware van Sophos ziet updateprogramma's van onder meer Apple en Java ten onrechte aan voor malware. Sophos heeft een update online gezet, maar die is lastig uit te voeren, omdat Sophos ook zijn eigen updatesoftware deactiveert.

De Sophos-software ziet vrijwel alle programma's met update-functionaliteit aan voor Shh/Updater-B, een aan updatefunctionaliteit gerelateerde malware. Daardoor zijn bij veel gebruikers gangbare updateprogramma's van onder meer Java, Google-software en Apple-software in quarantaine gezet of verwijderd. Gebruikers klagen daarover op Sophos' eigen forum.

Sophos adviseert op andere manieren te updaten dan via de ingebouwde updatefunctionaliteit, maar in sommige gevallen moet Sophos in zijn geheel opnieuw geïnstalleerd worden, waarschuwt de antivirusmaker. Dat komt doordat in sommige gevallen delen van de updater voor Sophos zelf zijn verwijderd, waardoor updates niet meer kunnen worden uitgevoerd.

De fout zit in de definities voor Sophos' Live Protection-systeem, waarmee computers beveiligd kunnen worden. Het is onduidelijk hoeveel klanten van het antivirusbedrijf zijn getroffen. Het bedrijf heeft via sociale media excuses aangeboden. "Het spijt ons echt vanwege al het ongemak, de hoofdpijn en het slaapgebrek door deze situatie."

Sophos false positives

Reacties (103)

Reactiefilter:-1103091+153+21+30
Mooi ja, dat is weer het mooie van de natuur: het zoekt zijn eigen balans. Het probleem lost zichzelf op: de software is niet goed, dus mensen gaan weg en daarmee is het probleem weg.
Deze natuur is nog mooier: ook de eigen updater is slachtoffer...
ik dacht eerst van dat is iets voor mij zo'n virusscanner die in 1 klap al die irritante update blokkeert :+ op mijn vorige systeem kreeg ik van java iedere dag weer een update melding ook terwijl er niets te downloaden was.
dom als je niet update krijg je juist gezeur java vooral niet update en lekker geinfecteerd worden

waarschijnlijk gewoon java verwijderen en opnieuw installeren en als je geen java gebruikt gewoon verwijdern

[Reactie gewijzigd door Stoute op 20 september 2012 11:15]

Continue een irritant update-programma draaien, of gewoon meuktracker in de gaten houden en handmatig updaten.
Ik had mijn keuze snel gemaakt..
Jupz, inderdaad Episch... al hoewel ik updaters zoals Apple, Google en dergelijke altijd uit zou zetten vanwege crap software is dit uiteraard wel hilarisch dat het ook wel zijn eigen software daarmee deactiveert :)
goed zo; google updater uit zetten....

dan blijf je met een oude webbrowser (chrome) achter en loop je net zoveel risico om een virus op te lopen als dat je windows update uitschakelt...

die updaters hebben een functie...

als je de crap software niet wil, uninstall die dan, dan zijn die updaters ook niet nodig en staan die ook niet op je systeem; ik heb bv géén itunes oid en dus géén apple updater...

ik heb van google énkel chrome op mijn pc staan en heb dus wel degelijk de updater van google; zou wat dom zijn om die updater uit te schakelen/te verwijderen...
al is mijn primaire browser firefox... chrome is wel iets veiliger (momenteel) omdat die volledig sandboxed is, maar ik gebruik 'm eigenlijk quasi nooit, ik heb 'm indertijd manueel geinstalleerd (dus niet meegekomen met andere software, want dat is altijd netjes uitgevinkt, of aangevinkt in sommige gevallen)
Ze vergeten nog te excuseren voor de ontstane ruzie met mijn vrouw. :+
Slechte zaak, ook al vind ik het wel humor dat ook hun eigen updater verwijderd is haha.
Je zou toch op z'n minst een whitelist verwachten voor het eigen systeem.. :/
Je zou toch op z'n minst een whitelist verwachten voor het eigen systeem.. :/
Zou zoiets niet te makkelijk te misbruiken zijn?
Ja dat zou heel slim zijn alles wat een virus schrijver dan hoeft te doen is juist die code besmetten en de virus scanner ziet het niet meer als onveilig... Dat werkt gewoon niet. Het enige dat ze zouden kunnen doen is een unieke hash maken van alle versies van dit programma en die vervolgens op een whitelist plaatsen, maar dat levert ook problemen op want hoe reageer je als de updater wordt geupdate? Het is niet als of Google Adobe, en al die andere software schrijvers Sophos even bellen om de nieuwe hash door te geven. Dus het resultaat is simpel weg dat ook dan de nieuwe update tool als onveilig gezien wordt.

De enige echte manier is zoeken naar code die precies lijkt op het geen je al kent of die duidelijk gevaarlijk is omdat dit laatste een heel moeilijk pad is wil een virus scanner nog wel eens een false positive opleveren. Vandaar ook dat er een aantal sites zijn die de mogelijkheid bieden om met meerdere virus scanners een bestand te scannen om er achter te komen wat een hele groep virus scanners denkt dat het is.
Vaak zie je dan dat 1 of 2 een bestand als gevaarlijk aan merken waar de andere 10 geen problemen zien. Dit is simpel weg de enige manier waarop je iets meer zekerheid kunt hebben over de veiligheid van bepaalde bestanden war je eigen virus scanner aan twijfelt.

Het is wel grappig dat ook het eigen Sophos systeem als gevaarlijk wordt gezien maar aan de andere kant als gebruiker ben je ook wel erg dom als je de virus scanner bestanden gewoon maar laat verwijderen. De executie blokkeren is meer dan genoeg dan kun je altijd nog online kijken of andere het met het idee van jouw virus scanner eens zijn. Als dat niet zo is dan weet je al snel genoeg...
Bij Comodo staat de program dir ook in een whitelist, het kan dus wel.
Als de malware geen admin rechten krijgt kan hij er niet bij (win7).
Dit is niet zo handig aangezien veel malware zichzelf wel naar admin rechten kan promoveren en uac kan bypassen. |:(
Heb je een bron voor die claim?
Privelege escalation is een heel gangbare techniek hoor.
Yep :) Kijk hier eens: http://www.pretentiousname.com/misc/win7_uac_whitelist2.html Een manier om UAC te omzeilen die nog steeds werkt (proof of concept is in 2009 gescreven)! 8)7
maarja, hoeveel van de tweakers zet UAC compleet uit? best veel doen dat.
Als UAC uitstaat, werkt de program files bescherming ook niet meer :) (en nog een handvol beveiligings maatregelen)
Valt wel mee denk ik. Ik schat dat van de tweakers 60%-70% nog UAC aan heeft staan en van de normale gebruikers wel 95%
Ok thanks voor de cijfers, was even bang dat ik het CBS moest gaan bellen...
Valt wel mee denk ik. Ik schat dat van de tweakers 60%-70% nog UAC aan heeft staan en van de normale gebruikers wel 95%
based on information we made up arbitrarily, no warranty or guarantees
:+ LOL :+

Mee eens en persoonlijk denk ik dat +99% van de gebruikers UAC gewoon aan laten staan, daar het lang niet zo irritant meer is als in RTM Vista, en de meeste weten niet eens hoe men UAC zelfs maar uit moet zetten.

En onder tweakers, denk ik dat het +98% is, daar er onder tweakers er een grotere groep is. die alles denkt beter te weten omdat ze "computer expert" zijn, en zo dom zijn om het uit te zetten omdat het waarschuwing/bevestiging scherm hun irriteert.

* player-x conclusions are also based on information he made up arbitrarily, no warranty or guarantees, for tweakers tho, this number could easily be confirmed by a poll.
en de meeste weten niet eens hoe men UAC zelfs maar uit moet zetten.

Met de hamer 3x kloppen , maar het weer aanzetten is dan wat problematisch
Elke tweaker die op win 7 UAC uit zet verdient het in mijn ogen om uit de tweaker groep gezet te worden.

het uitzetten van UAC is nauwelijks ergens voor nodig.
Ok het levert een paar kleine ergernissen op, maar die zijn ook nodig.
bvb niet rechtstreeks kunnen unzippen in de program folders
bvb het niet simpel kunnen editeren van de host files.

daar zijn simpele work arounds voor en eens je die gewoon bent zijn ze ook heel logisch.
Dus laat gewoon UAC aan en pas je werk methode aan naar een veilige manier van werken.
als je voor normaal gebruik gewoon een simpele gebruikers account gebruikt waar je geen admin rechten hebt en voor bijzondere situaties inlogt als admin dan kan ik me heel goed voorstellen dat je UAC uit zet.

Net zoals dat je als je als root werkt in Unix echt niet veel meer waarschuwingen krijgt, je bent echt geen idioot als je dat soort waarschuwingen uitzet je bent pas een idioot als je per ongeluk alles recursief verwijderd en je het niet terug kan halen.
Weet je wat; ik ben al jarenlang tweaker...

ik heb UAC uitstaan...
ik moet geen wachtwoord ingeven als windows opstart...
ik heb wel meerdere gebruikersaccounts op m'n pc; maar woon alleen momenteel en windows logt dus automatisch in op mijn hoofdaccount.
Als ik uitlog/afmeld moet je achteraf wél een wachtwoord ingeven; er is dus wel een wachtwoord, maar ik heb ingesteld het niet te vragen bij opstarten.

Het zit namelijk zo dat je bij het aanzetten van de pc al een wachtwoord moet geven.

ow, en voor je gaat roepen "dit kan je verwijderen door een jumper te ....."
neen, dat kan niet, want de bios zelf heeft geen wachtwoord; het is de harde schijf die gelocked is (vanuit het bios uiteraard); en wanneer je de schijf wilt 'activeren' moet je eerst een wachtwoord ingeven (USER) Uiteraard is dit een wachtwoord van 12 of meer alfanumerieke tekens (ik ga niet zeggen hoeveel exact uiteraard) om het veilig te houden.
Ook als je de HD in een andere pc steekt vraagt hij dit wachtwoord... Zelfs als je van plan bent om te formatteren... Het is géén encryptie uiteraard; het is gewoon de toegang tot de hd zelf...
nige dat ze zouden kunnen doen is een unieke hash maken van alle versies van dit programma en die vervolgens op een whitelist plaatsen, maar dat levert ook problemen op want hoe reageer je als de updater wordt geupdate?

Nochtans werkt zo Tren Micro Smart Scan. Door een Hash van alle windows bestanden centraal te zetten, hoeven ze niet alles te scannen om te weten dat deze correct of niet correct zijn.

En er zou perfect een hash gemaakt kunnen worden van hun eigen update programma, dat ze altijd hun eigen updater vertrouwen.
Een whitelist kan natuurlijk meer betekenen dan een bepaalde applicatie of directory uitsluiten van scannen. Je kan bijvoorbeeld een hash maken van je update programma om te controleren of deze besmet is, maar hem verder met rust laten.

Hoe dan ook zou een bepaalde manier van zelf-reparatie wel handig kunnen zijn voor het geval een virus de scanner om zeep helpt.
Via zo'n bulk antivirus scan website kun je nog altijd false positives krijgen.
Wanneer 2 van de 12 scanners van mening is dat een bestand gevaarlijk is, is dit behoorlijk aannemelijk zelfs.
Bij twijfel test ik het zelf in een sandbox omgeving, zo weet ik in ieder geval wel 100% zeker dat mijn systeem niet besmet wordt.
Het enige dat ze zouden kunnen doen is een unieke hash maken van alle versies van dit programma en die vervolgens op een whitelist plaatsen, maar dat levert ook problemen op want hoe reageer je als de updater wordt geupdate?
Dan moet je eerst de oude updater vertellen, bv met een nieuwe definition-file dat de nieuwe updater safe is. Het lijkt me dat dit iets is dat alle anti-malware makers tegenkomen.
Het is niet als of Google Adobe, en al die andere software schrijvers Sophos even bellen om de nieuwe hash door te geven. Dus het resultaat is simpel weg dat ook dan de nieuwe update tool als onveilig gezien wordt.
Klopt, als ze dit al doen (zal dan wel mailen zijn, en uiteraard gesigneerd) dan doen ze dat hooguit naar de hun bekende grote AV-makers (symantec, mcaffee, kasperski) maar zullen er altijd makers ontbreken (clam, immunet) en voor de middenmoot (avast, avg, avira, comodo, eset, panda, bitdefender, f-secure, norma, g data, trend, pinda, ...) en de andere malwarescanners (javacool (spywareblaster), superantispyware, emisoft, malwarebyte, spyware teminator) is het maar de vraag of ze wel of of geen informatie krijgen).

Daar wil je als maker niet van afhankelijk zijn. Uiteraard kun je zelf die updaters draaien en analyseren maar je loopt dan altijd achter de feiten aan en zolang jij je gegevens niet hebt bijgewerkt kunnen je gebruikers hun java, flash player, reader enz niet updaten. Tevens kun je nooit alle updaters bijhouden want er zullen altijd nieuwe en kleine firma's zijn die voor hun het updaten van de apps bij hun clienten ook een updater willen gebruiken. Wereldwijd zijn er nogal wat belastingaangifte-programma's, boekhoudprogramma's enzovoorts en die willen bij een veiligheidspatch ook zo snel mogenlijk hun gebruikers bereiken..
De enige echte manier is zoeken naar code die precies lijkt op het geen je al kent of die duidelijk gevaarlijk is omdat dit laatste een heel moeilijk pad is wil een virus scanner nog wel eens een false positive opleveren.
False positives krijg je vooral bij heuristisch scannen. Alleen daarmee vindt je echter nieuwe malware. Met signatures, wat alle AV's gebruiken treed dit zelden op, echter dan loop je feitelijk ook weer altijd achter de feiten aan. Als AV-bedrijf moet je eerst het virus analyseren en aan de hand daarvan je signature files updaten . Op dit moment is feitelijk de enige methode om die updaters dan maar gewoon te laten draaien en hopen dat je na de eerste besmetting snel genoeg daarvan op de hoogte gesteld wordt en je daarna je nieuwe signatures hebt kunnen updaten op de systemen van je klanten voordat het virus bij hen komt.
Vandaar ook dat er een aantal sites zijn die de mogelijkheid bieden om met meerdere virus scanners een bestand te scannen om er achter te komen wat een hele groep virus scanners denkt dat het is.
Vaak zie je dan dat 1 of 2 een bestand als gevaarlijk aan merken waar de andere 10 geen problemen zien. Dit is simpel weg de enige manier waarop je iets meer zekerheid kunt hebben over de veiligheid van bepaalde bestanden war je eigen virus scanner aan twijfelt.
Klopt echter als je eigen scanner ze helemaal niet detecteerd raakt je systeem dus geïnfecteerd. Als je eigen scanner iets als gevaarlijk aanmerkt wordt het gedeactiveerd door het in een virus-vault te zetten of door het te wissen.
Het is wel grappig dat ook het eigen Sophos systeem als gevaarlijk wordt gezien maar aan de andere kant als gebruiker ben je ook wel erg dom als je de virus scanner bestanden gewoon maar laat verwijderen. De executie blokkeren is meer dan genoeg dan kun je altijd nog online kijken of andere het met het idee van jouw virus scanner eens zijn. Als dat niet zo is dan weet je al snel genoeg...
Helaas gaan heel veel scanners uit van de onkunde van de gemiddelde gebruiker en kun je een bestand nauwelijks of niet terugzetten. Zelf overkwam mij dat bij Avast 6 dat een dll van de Lenovo Powermanagement drivers als malware aanmerkte.

Gezien het niet eerder reageren van Avast op false-positive-reports betreffende Clamwin en Immunet Antivirus (welke laatste zelf aangeeft compatible te zijn met
Compatible Security Products
AVG
Avast!
Avira
Norton Anti-Virus, Internet Security, 360
McAfee
Microsoft Security Essentials
Trend Antivirus
K7
maar van Avast! slechts versies 4.6 en 5.0 als officially supported.
Zal ik dus ook Avast niet meer instaleren.

[Reactie gewijzigd door BeosBeing op 20 september 2012 14:23]

In principe wordt alles verdacht wat zichzelf probeert te updaten: naast Sophos zelf, Apple en Java, is dat ondermeer GoogleUpdate.exe, npGoogleUpdate3.dll, Nvidia's NvUpdt.dll en FlashPlayerUpdateServer.exe .
"ten onrechte" .... Kan je over discussieren..... Ik vind de Java updater rete irritant. In fact, het is de reden dat ik geen Java op mijn PC heb staan :D
Helemaal mee eens. Je hebt soms dagelijks een Java update, heel irritant. Maar Flash is ook niet minder.
Maar wat doe je eraan, als je het niet installeert dan kan je veel sites/programma's niet gebruiken. Doe je het wel dan vergroot je de kans dat je om getroffen te worden door virussen. Het is hier denk ik wel algemeen bekend hoe vaak Java, flash, activex, etc misbruikt worden om virussen in te planten op je pc.
eeuhm... msconfig -> tabje opstarten en vinkje bij JAVA update weghalen :)
Niet slim: Only 9 of 22 virus scanners block Java exploit
Beter zou zijn als het updaten helemaal onzichtbaar gebeurd, geen ergernis bij gebruikers.

[Reactie gewijzigd door Soldaatje op 20 september 2012 09:04]

Jah, inderdaad. Maar dat is echt not done in een zakelijke omgeving.
Hmm, ik zit hier in een zakelijke omgeving maar de verstoringen die de beheerders veroorzaken zijn veel ernstiger en kosten meer dan die paar vendor updates.
Ook niet. Beter zou het zijn dat er één of twee vertrouwde updaters zijn (bijvoorbeeld Windows Update) die ook de andere applicaties updaten. Java, Flash en andere van het soort notoire beveiligingsgaten bevattend wordt dan beperkt uitgevoerd en mogen niet zelf updaten. Deze zijn van voor hun update afhankelijk van die twee vertrouwde en dubbel gecontroleerde updaters (bv van Windows Update of een AV-pakket). - een beetje zoals in Linux dus met diens repositories.

[Reactie gewijzigd door BeosBeing op 20 september 2012 14:35]

Hoezo kun je daarover discussieren? De Java updater vraagt allereerst of je wil upgraden. Daarnaast kun je hem gewoon uitzetten (al was dat vroeger duidelijker). Dat jij dat niet hebt gedaan maakt het nog geen virus.
Dat je het rete irritant vindt maakt het nog geen malware natuurlijk.
geen malware, wel adware. Iets wat ook verboden zou moeten worden.

--
Ik heb tussen de java updates inmiddels al (Standaard aangevinkt) McAfee Security Scan Plus, de google toolbar en tegenwoordig de ask toolbar voorbij zien komen. Wel degelijk adware dus. Niet meer dan terecht dat een virusscanner dat blokkeert :P

http://www.java.com/nl/download/faq/ask_toolbar.xml

[Reactie gewijzigd door NE5Freak op 21 september 2012 01:20]

Absoluut geen adware. Ze maken toch geen reclame? Het is gewoon een update van het programma zelf. Als je dat als adware beschouwt dan is Windows Update ook adware.
al moet ik zeggen dat die Java updater zich wel gedraagt als een virus....
google updater ook
*facepalm*

Sophos, bringing windows quality software, to your Mac.

?

Maar goed een foutje kan gebeuren, en zolang het mormel maar niets verwijderd/beschadigd is het leed te overzien.
Ben ik blij dat wij sinds kort kaspersky hebben... 70 werkstations en 10 servers oef ~_~
3200 werkstations en 250 servers... Wie haalt er koffie voor me..?
geen policy's

geen companywide acces ?
Onze sysadmins en beheerders kunnen vanaf hun werkplek tot in Dubai komen ...

( ik zie de declaratie wel komen ... )
Het is een beetje laat maar hier :koffie:
Hier gelukkig maar een kleine 150 pc's echter wereldwijd enkele duizende waarvan er in de mail AV warnings binnenkomen. En dan verslaap je jezelf waarna er in lotus notes duizende mailtjes van AV verstopt zitten en dan ook nog eens je Lotus notes quota warnings :/
vind de meeste auto updaters inderdaad virus-achtig. draait altijd op de achtergrond en neemt dus recources. ik update liever wanneer ik het daadwerkelijk opstart/gebruik.
En als je op een pagina terecht komt die java-exploits probeert uit te voeren? Denk je dat die eerst aanbieden om een update te draaien? Dan ben je al te laat.
Dat is ook de reden dat er automatische updates aangeboden worden.

Ook zie je als het op die manier gebeurd dat gebruikers 'even snel' het programma willen gebruiker waardoor de update alsnog niet geïnstalleerd wordt.

Al met al ben ik het eens dat Java behoorlijk vervelend kan zijn door met iedere update die Ask-toolbar mee te willen installeren
Als optie inderdaad, de gebruiker is niet verplicht de bingbar/mcafee/chrome/etc mee te omstalleren. Dat veel gebruikers blindelings op 'next' of ' accept' klikken en niet lezen is een ander probleem :)
Welkom bij ninite.com

alles in één installer, ZONDER de bijgeleverde addons/toolbars
Eigenlijk toch wel een armoe dat je voor zo'n basisfunctionaliteit software van derden moet aanschaffen. Je zou verwachten dat zoiets anno 2012 wel standaard in een besturingssysteem zit.
Het hoort gewoon niet automatisch aangevinkt te zijn. Dit is gewoon misbruik proberen te maken van onoplettendheid.
Op de achtergrond draaien en resources innemen maakt iets geen virus. Dat maakt het een service. En de meeste auto updaters kun je gewoon uitzetten.
hoe zit dat eigenlijk met bedrijven die klant zijn bij bedrijven als dit. Je hoort met enige regelmaat dat een anti-virus/malware of enige andere vorm van beveiligende software, een dergelijk probleem als dit veroorzaakt. Voor een particulier kan de schade beperkt blijven, daar heb je het vaak over 1 of 2 computers. maar voor een bedrijf zijn dit misschien wel 10 to 100 keer zoveel. Dat kan een bedrijf behoorlijk op kosten jagen, al dan niet voor de extra uren die de ict afdeling moet draaien, dan wel de klanten van dat bedrijf (dus klant van de klant van sophos) weer die problemen hebben daardoor. Kun je dan bijvoorbeeld een bedrijf als sophos verantwoordelijk houden voor de kosten die je maakt?
Succes aan alle mensen/ict'ers die dit mogen oplossen.
Die bedrijven draaien zelf voor de kosten op. Gevolgschade van problemen wordt standaard in de overeenkomsten uitgesloten.
Daarbij wordt er in de documentatie ook nadrukkelijk op gewezen dat je elke update eerst uitgebreid moet testen voor je hem uitrolt. Dat dat meestal niet praktisch is weet iedereen, die tekst staat er dan ook meer om zich juridisch in te kunnen dekken dan om de klant te helpen.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013