Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Webroot-antivirussoftware zag Windows-bestanden tijdelijk als kwaadaardig

Door , 42 reacties

De software van antivirusbedrijf Webroot heeft tijdelijk legitieme Windows-bestanden als kwaadaardig aangemerkt. Daardoor hadden gebruikers van de zakelijke en de consumentenversie van de software problemen met instabiele systemen.

webrootIn een mededeling op zijn forum schrijft Webroot dat het 'meerdere false positives voor verschillende programma's heeft vastgesteld' en biedt kleine bedrijven stappen om de geblokkeerde bestanden terug te halen. Het zegt dat managed service providers een andere oplossing nodig hebben, waaraan momenteel nog wordt gewerkt. Ondanks de geblokkeerde bestanden bleef het besturingssysteem vaak werken, maar de problemen zorgen voor instabiliteit.

Ars Technica meldt dat de definitions die voor de verkeerde detectie zorgen ongeveer dertien minuten beschikbaar waren. Dat was echter genoeg om bij veel gebruikers voor schade te zorgen. Daarnaast werden sites als Facebook en Bloomberg aangemerkt als phishingdomeinen, waardoor zij niet meer toegankelijk waren. De site meldt verder dat het verwijderen van Webroot en het herstellen van getroffen bestanden vanuit een back-up een werkende oplossing lijkt te zijn.

Sander van Voorst

Nieuwsredacteur

Reacties (42)

Wijzig sortering
Ik heb geen idee hoe virusscanners werken, maar ik vermoed iets met hashes van bestanden?
Zou er dan geen white-list van windows-bestanden moeten zijn die goed zijn?
Bestandsnamen alleen zijn niet voldoende, want ook Windows bestanden kunnen besmet raken.
Hashes alleen zijn ook niet voldoende, want die kunnen na elke Windows update veranderen.
Ik vind het eigenlijk niet gek dat dit kan voorkomen.

Neem als voorbeeld Windows 10; daar lopen meerdere builds door elkaar heen doordat Microsoft ervoor heeft gekozen om een "produktie" uit te rollen voor iedereen en 2 "insider" builds voor personen die graag de laatste fixes/bugs willen binnen krijgen.

In essentie bestaan er dus van een aantal bestanden 3 verschillende versies / signatures / MD5's; op het moment dat een antivirus-bedrijf een nieuwe signature uitbrengt en 3 minuten later installeert Microsoft net een andere update op jouw machine, is het logischerwijs handig dat het antivirus-pakket inderdaad detecteert dat een bestand niet voldoet aan de signature.

Het lastige hierin is dat 99.9% van alle mensen geen enkel idee heeft wat ze met een false positive of positive melding moeten doen dus by design worden antivirus-pakketten dus geinstalleerd met als default rule Quarantine zonder vraagstelling van te voren; hoogstens een melding achteraf. Tja, dan kan een essentieel bestand dus niet meer functioneren en krijg je dit soort toestanden, in dit geval voor bedrijf Webroot.
Ik zou insider builds toch echt niet ondersteunen als Antivirusbedrijf. Daarnaast: Sinds mensheugenis worden al bŤta's en alphas uitgebracht. Je moet gewoon zorgen dat je de officiŽle stable release ondersteund en meer niet...
Goja, legitieme Windows bestanden zijn normaal wel voorzien van een handtekening in de binary zelf of via de catroot's hoor...
Ik ben nog geen antivirus tegengekomen die bestanden vergelijkt met een 'whitelist'.
Je zult vast dergelijke services vinden als je er specifiek op zoekt maar daar gaat het niet om.
Een 'blacklist' is gebruikelijk. Bovendien zijn er meer manieren zoals signatures/wijzigingen applicaties in memory (runtime) en het monitoren van bepaalde functies waardoor false positives kunnen voorkomen.

Dat is niet duidelijk uit het artikel van Tweakers.

[Reactie gewijzigd door B. Olle op 25 april 2017 10:43]

De software van antivirusbedrijf Webroot heeft tijdelijk legitieme Windows-bestanden als kwaadaardig aangemerkt.
Gebruikers van andere besturingssystemen: "Dit is toch niet verrassend?" :+

Iets serieuzer:
Dit in combinatie met dat er tegenwoordig een virusscanner in Windows zit zorgt ervoor dat third-party virusscanners steeds minder populair worden. Virusscanners van derden lopen net als Windows Defender achter op zero-day malware. Echter heeft Windows Defender nog het voordeel dat het van Microsoft komt en daardoor met het besturingssysteem mee ontwikkelt kan worden. Virusscanners van derde partijen lopen ook altijd achter op de ontwikkelingen van Windows.

[Reactie gewijzigd door The Zep Man op 25 april 2017 09:07]

Iedereen loopt achter op "zero-day malware" daarom heet het zero-day.
Facebook een phisingdomein, klinkt wel terecht :D
Hoewel ze daar wel vissen, doen ze het daar met speciaal aas voor klikvissen.
Antivirusprogramma's zijn dan ook ellendige programma's. Ze vertragen de opstarttijd van de computer en van alle programma's die erop draaien, vertragen de openings- en verplaatsingstijd van alle bestanden, blokkeren ongevraagd het installatieproces van sommige programma's (meestal spellen), blokkeren de Internettoegang van online spellen en blokkeren programma's die ik zelf in C++ geschreven heb wegens "lage reputatie" of "verdachte activiteit".

Antivirusprogramma's zijn daarnaast vaak ook niet te verwijderen, waardoor jij Windows moet opstarten in de veilige modus om het eraf te kunnen gooien. Midden in een spel geven die antivirusprogramma's ook nog een irritante, totaal irrelevante meldingen, zoals: "Updates zijn geÔnstalleerd" of "U gebruikt niet de nieuwste versie van ...", waardoor het spel traag loopt of zelfs helemaal vastloopt.

Kortom: antivirusprogramma's zijn zelf de ergste virussen. Daarom gebruik ik ook geen antivirusprogramma.
Mmm een vriend van me kreeg vaak zo'n melding bij games die hij had gedownload. Dan was zo'n installatie van zo'n crack een virus, maar eigenlijk is het geen virus maar de manier waarop het zich installeert doet hetzelfde als een virus, maar verder is het niet schadelijk. (Hoop dat ik het goed zeg zo, anders correct me)

Misschien is zoiets ook t geval bij Onedrive ofzo?

[Reactie gewijzigd door Da Queen op 25 april 2017 09:01]

Jaja, 'een vriend van me'. ;)

Maar het klopt wel wat je schrijft. Eigenlijk gedragen deze cracks zich als een soort Trojan. Echter, omdat iedereen dat weet en nogal gemakkelijk zijn anti-virus uitschakelt om de crack toch mogelijk te maken, zijn ook de virusverspreiders daar opgedoken door deze cracks te infecteren, of fake cracks op de markt te brengen.

Indirect is het zelfs niet vreemd om te denken dat de game-industrie zelf daar een aandeel in heeft, omdat zij natuurlijk baat hebben bij onveilige downloads.
Hoe kom je erachter of de crack eigenlijk een echte virus is of een false positive? Dan kan ik die vriend van me waarschuwen namelijk! :)
De game kopen en geen cracks gebruiken. Games voor PC zijn tegenwoordig niet duur meer als je van websites zoals www.humblebundle.com koopt. Er komt in de zomer ook weer een steam sale aan en ik houd altijd www.reddit.com/r/gamedeals in de gaten.
Klopt, hier alles van steam en humblebundle, eigenlijk nog meer van humblebundle. Maar om te proberen vind ik cracks niet slecht. Sterker nog uit onderzoek is gebleken dat het zelfs de legale verkoop stimuleert.
Installeren in een VM :X

Maar dat terzijde, demo het. Dat is waar ik het voor gebruik bij 60euro games. Uurtje of 2 uitproberen en dan alsnog kopen. Dat zou de irl karma van je vriend goed doen ;)
Die vriend heeft alles origineel ook, handig met updates en geeft geen gedonder met installaties. Demo idd! Gaat niets boven origineel!
Het is 2017 for crying out loud.... :')
Echt te belachelijk voor woorden dat dit nog voor komt. Zou voor mij echt meteen exit pakket zijn en overstappen.
Wat heeft het feit dat het 2017 is er nou mee te maken? :?
Tja, en naar welk pakket moet je dan overstappen? de meeste pakketten hebben een dergelijke fout de afgelopen jaren ook gehad. (hiermee zeg ik niet dat webroot wel/niet goed is)
Niet alleen windowsbestanden ook brother control center 4 en nog wat andere software
Ah, dat verklaart een hoop. Ik moest op mijn werk de hele computer een schone installatie laten geven omdat alle Microsoft services (o.a. Outlook) geen contact meer met de server konden maken. En de UWP apps wilden helemaal niet meer starten. En zelfs system recovery werkte niet meer. Dit zal de oorzaak wel zijn geweest.
Wij hebben ongeveer 200 end-points verspreid over 5 landen met Webroot AV. Geen enkel systeem was getroffen door deze fout. Ik ben wel benieuwd hoeveel % de foutieve update binnengekregen heeft.
De site meldt verder dat het verwijderen van Webroot en het herstellen van getroffen bestanden vanuit een back-up een werkende oplossing lijkt te zijn.
De getroffen bestanden zijn dus Windows bestanden. Hoeveel mensen maken een back-up van zijn windows? Mijn eigen bestanden, ok, maar ik ga echt niet die 30 GB aan Windows bestanden backuppen. Tot nu toe heb ik me kunnen redden met herstelpunten, als een nieuw geinstalleerd programma de zaak om zeep had geholpen.
Het kan echt geen kwaad om regelmatig een volledige backup te maken met bijvoorbeeld Veeam Endpoint Backup (niet de beste maar wel gratis en goede ondersteuning). De eerste run is idd over die 30Gb, maar daarna alleen de verschillen. Laten we voor het gemak 3-5 Gb max zeggen. Ondanks data backups (dat overigens op een NAS staan) worden hier elke dag full/incremental backups gemaakt. Als je systeem juist is opgezet doe je dat alleen van je systeem partitie, los van je data partitie. Voordeel van Veeam EPB is dat het ook nog eens een restore voor je kan doen op andere hardware. Wanneer / waarvoor is dit handig:
- falende hardware (en dus bv een ander moederboard)
- falende software
- falende gebruiker
- Ransomeware
- andere virus/malware aanvallen
- brand
- diefstal
- etc
Helemaal op gang ben je als je dit dus regelmatig doet en betreffende backups naast lokaal ook off-site opslaat (cloud storage bv) met encryptie. Er zijn Storage Cloud providers waar je ook versioning krijgt en alleen betaald voor je laatste data. Versioning is een sterk wapen tegen ransomware. En zo heb je diefstal en brand ook meteen "opgelost".
Wij krijgen zo vaak gebruikers van elk alloy die geen backup hebben van hun Systeem partitie. Moet je alles opnieuw opbouwen (windows, updates, applicaties (bij bepaalde licentie structuren alleen versie xyz), settings, wachtwoorden) voordat je weer aan de slag kan. Ben je zomaar een dag mee bezig en dan doe je het snel. Met een goede backup en lokale opslag max 30-60 minuten. Ik heb mijn winst op deze manier al diverse malen geteld...
Maar, ieder voor zich. Just my 2 cents
Dat Veeam klinkt wel goed! Ken je Paragon Backup and Recovery? Dat gebruikte ik vroeger, ook gratis. Zou Veeam beter zijn? Of waarom zeg je "niet de beste"?
Ik heb heel veel gewerkt met Veritas System Recovery (voorheen Symantec System Recovery), dat is nog steeds wel mijn favoriet. Paragon ken ik vanuit heel lang geleden, geen idee wat de status daarvan is op dit moment.
Ga Veeam maar gewoon eens gebruiken, simpel van opzet en doet wat het met doen.
Ik dan ga ik dat wellicht gebruiken op mijn nieuwe computer... (ik zie overigens dat Veritas betaald is).

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*