Antivirussoftware-update crasht computers - Update

Trend Micro logoDoor een fout in de antivirusdefinities van Trend Micro zouden meer dan 300.000 computers zijn vastgelopen. Geheel volgens de planning bracht het Japanse bedrijf afgelopen vrijdag een update uit voor zijn antivirussoftware. Kort daarna kwam een stortvloed aan telefoontjes en e-mails binnen van klanten met de klacht dat het CPU-gebruik naar de 100% schoot, waardoor hun pc's niet meer functioneerden. Binnen 90 minuten had het bedrijf de update offline gehaald, maar kon niet meer voorkomen dat de update door bijna 350.000 gebruikers was gedownload. Volgens Trend Micro is de fout ontstaan doordat de patch niet getest was met Windows XP SP2. Het bedrijf biedt zijn excuses aan de getroffen gebruikers. Het zal in het vervolg meer tijd steken in het controleren van updates en een check-mechanisme in de nieuwe scanengine implementeren.

Update: Trend Micro heeft gezegd dat er geen schadeloosstelling is aangeboden, er geen exacte aantallen bekend zijn.

Door Bart Veldstra

Freelance Nieuwsposter

Feedback • 26-04-2005 14:52 107

26-04-2005 • 14:52

107

Lees meer

Beveiligingssoftware Avast bokt na foute update
Beveiligingssoftware Avast bokt na foute update Nieuws van 12 april 2011
Reactiesnelheid virusbestrijders in kaart gebracht
Reactiesnelheid virusbestrijders in kaart gebracht Nieuws van 22 december 2005
Verspreiding worm Sober.P plotseling stilgelegd - Update
Verspreiding worm Sober.P plotseling stilgelegd - Update Nieuws van 14 mei 2005
Nopir.B-worm verwijdert muziekbestanden van pc
Nopir.B-worm verwijdert muziekbestanden van pc Nieuws van 22 april 2005
Amerika heeft legereenheid voor 'Network Warfare'
Amerika heeft legereenheid voor 'Network Warfare' Nieuws van 20 april 2005
Valse Windows Update-mail waart rond
Valse Windows Update-mail waart rond Nieuws van 8 april 2005
Eerste MMS-worm voor Symbian-platform is een feit
Eerste MMS-worm voor Symbian-platform is een feit Nieuws van 9 maart 2005
Top-10 virussen februari bevat voornamelijk oudere soorten
Top-10 virussen februari bevat voornamelijk oudere soorten Nieuws van 2 maart 2005
Hotmail verkiest Trend Micro boven McAfee voor virusscans
Hotmail verkiest Trend Micro boven McAfee voor virusscans Nieuws van 20 december 2004
Meer producten en artikelen
Software

Reacties (107)

-Moderatie-faq
107
103
71
19
2
2
Wijzig sortering
Verwijderd 26 april 2005 15:17
Dit is dus mijn angst bij automatische updates. Denk maar eens wat gebeurd op moment MS alles (verplicht) volautomatisch updatebaar maakt en als daar een foutje insluipt. Dergelijk systeem wordt ook gebruikt binnen mijn bedrijf en daar heb ik al eens een volledige reload van het OS mogen doen :-(
paella @Verwijderd26 april 2005 15:48
Daarom ben ik erg blij dat er zoiets als SUS bestaat. Eerst testen op een beperkt groepje computers en daarna vrijgeven voor de rest.
familyman @paella26 april 2005 16:47
Voor de mensen met minder pc's of tijd, zou er een optie moeten bestaan om de update na 91 minuten (in het geval van deze software) automatisch uit te voeren.

Zelf doe ik dat met windows. Hij vertelt me dat er een update is, en ik bepaal wel wanneer hij erin gaat. Heeft me al veel ellende gescheeld.
Verwijderd @familyman26 april 2005 18:16
Denk je echt dat die mensen op tweakers.net kijken en erachter komen dat de update die nu in queue staat niet goed is?
Verwijderd @paella26 april 2005 18:22
De trendmicro managment tools kunnen ook zo werken. Ligt aan degene die hem installeerd.

Je kunt de update's automatisch naar alle client's gooien.
Je kunt de update's automatisch na 1/2e dag naar alle clients gooien.
Je kunt ze manueel erdoor drukken.

Best een mooi pakket hoor......
RetepV @Verwijderd26 april 2005 15:23
Ik heb hier een PC die crasht met de laatste nieuwe updates voor Windows XP van Microsoft. Echt fijn ook.

Als ik de laatste automatische updates install, dan moet ik na installatie het systeem rebooten. Vervolgens komt het systeem in een oneindige reboot-loop terecht. Telkens wanneer het opstarten bij het tonen van de desktop komt reboot het systeem gewoon weer.

Dus jouw angstdroom is in feite al uitgekomen, helaas alleen bij mij op het werk en niet bij jou op je werk :+.
Barrycade 26 april 2005 14:55
Volgens Trend Micro is de fout ontstaan doordat de patch niet getest was met Windows XP SP2
Hoe betrouwbaar is dan hun virusscanner in zijn totaal als hij niet wordt getest op de werking onder SP2?? :?
bszz @Barrycade26 april 2005 15:37
Trendmicro updates kunnen als ik me niet vergis uit drie zaken bestaan:
-Patches
-Scan engine updates
-Virus patterns

Er staat ook niet dat de virusscanner als geheel niet getest was op SP2. Het probleem zat in dit geval in de Pattern file doordat deze niet goed getest was.
deathz0rz @bszz26 april 2005 16:48
dat lijkt me een beetje raar. Ik denk eerder dat het in de scan engine update zat. De definities bevatten toch geen code die door de virusscanner uitgevoerd wordt en daardoor 100% CPU zou gebruiken?
bszz @deathz0rz26 april 2005 17:12
Check even de TrendMicro site:
This was shortly after Trend Micro posted Official Pattern Release (OPR) 2.594.00 at 3:30 p.m. US Pacific Time (or 11:30 p.m. GMT), which was later found to potentially cause performance issues when certain computer configurations are met.
en:
Due to an isolated anomaly in the engineering, development and pattern release process, the UltraProtect decompression may, in certain circumstances, cause some systems to experience high CPU power consumption. This can lead to system instability when this specific file type is scanned using Pattern File 2.594.00.
Spacecowboy @bszz27 april 2005 09:40
Wat kan een klant het schelen uit welke onderdelen een anti-virus suite betsaat?? Die wil gewoon een goed getest product. Ik zou het een reden vinden om over te stappen naar een ander product...
woekele @Barrycade26 april 2005 15:00
Lezen.

Er staat dat de patch niet getest is op werking onder SP2, niet dat de hele virusscanner daar niet voor getest is.
Verwijderd @woekele26 april 2005 15:31
En toch doet het de betrouwbaarheid van het bedrijf niet ten goede. Je mag je inderdaad nu af gaan vragen of ze wel zorgvuldig testen, en of ze überhaupt wel onder SP2 testen.
Verwijderd @Verwijderd26 april 2005 16:46
@H!GHGuY: Als je je tests enkel op je ontwikkel-PC's doet ben je sowieso al niet al te intelligent. Maar het feit dat ze sowieso niet op de specifieke versie van Windows hebben getest dat momenteel waarschijnlijk het meest gangbaar is, is ronduit beschamend voor TM.

SP2 mag dan in menigeens ogen niet perfect zijn (hoewel ik begrijp dat zolang men netjes de API gebruikte, SP2 geen enkel probleem op zou leveren), het is nog geen excuus voor TM om deze fout te maken.

Juist een antivirus bedrijf, een bedrijf dat geld verdient aan programma's die je computer stabiel moeten houden, kan zich zulke fouten niet veroorloven. Daarentegen bieden ze schadeloosstelling aan, dus blijkbaar hebben ze zelf ook de mate van hun fout door.
XyritZz @Verwijderd26 april 2005 16:27
En volgens mij gaan Microsoft voor Hotmail niet lang meer gebruik maken van de service van Trend Micro :+ :+
TLer @woekele26 april 2005 15:03
En dat is niet het zelfde?

De patch maakt deel uit van het totale programma. Zonder dat zal de patch ook niet werken en niet te testen zijn.

De nieuwste versie van het programma is dus ook niet getest onder SP2.
Olaf van der Spek @TLer26 april 2005 15:13
Je moet natuurlijk weten waar je het over hebt.
Als een update van de definities deze fout veroorzaakte, is het dus nodig dat definities even goed getest worden als patches.
Abom @TLer26 april 2005 15:08
Definitiebestanden zijn geen patches. Definitiebestanden defineren strings van virussen.

Je moet natuurlijk weten waar je het over hebt.
Blokker_1999 @TLer26 april 2005 17:15
En als jij wilt weten of bewijzen dat de scanner gebroken word door de patch op SP2 kan je er even snel het changelog bijnemen om te kijken wat er precies gepatched werd.
Olaf van der Spek @TLer26 april 2005 15:13
Je moet natuurlijk weten waar je het over hebt.
Als een update van de definities deze fout veroorzaakte, is het dus nodig dat definities even goed getest worden als patches.
Verwijderd 26 april 2005 15:04
Ik heb ook met trend gewerkt al, en het is idd ene super pakket.

Maar bij het testen een dingetje vergeten als SP 2 is toch wel een grove fout.

Zeker als je dan software verdeeld die met een autoupdate werkt. Ook de 90 min die er voorbij gegaan zijn na de deploy van de update lijken mij erg lang.
Als je een update doorvoert, dan hou je toch een paar mensen (een team in dit geval) ter beschikking van eventuele 'kleine' fouten. als je dan na de eerste 2000 emails nog niet meteen weet dat er iets mis is met de update :)

foutje waar weer veel bedrijven uit leren hopelijk. :*)
Ikke_Niels @Verwijderd26 april 2005 15:54
Zoals de bug zegt is dat het je CPU naar 100% tilt....

Lijkt me dan nog vrij lastig om een mailtje te versturen, tegen de tijd dat je dat gefixed heb ben je zo weer ff een tijdje verder :P
aZuL2001 @Verwijderd26 april 2005 15:21
Nu is 2000 mailtjes vanuit de hele wereld iets waar een mailserver wel even mee bezig is.
Ik bedoel dat het best goed mogelijk is dat je een paar melding in je mailbox ziet, vervolgens je in het probleem verdiept, en als je dan weer terug kijkt naar je mailbox het 2000 mailtjes blijken te zijn.

Overigens *kan* zoiets bij alle software update's gebeuren, niet als je de update los bekijkt, maar wel in combinatie met de rest van de software op de machine.

Het kan ook dat er toevallig net een MS update gedaan is waardoor het mis ging na de Trend Micro update.
Twarp 26 april 2005 14:56
Erg slordig om niet te testen met de huidige software. Ik ben benieuwd hoe ze de mensen schadeloos gaan stellen. Stel je voor wat voor claims hieruit kunnen komen.
n4m3l355 @Twarp26 april 2005 15:12
je kan je ook afvragen mede dankzij MS hoeveel varianten je moet testen om er zeker van te zijn dat het goed functioneerd, patches, sp's, stacks van patches, combinaties van patches, combinaties qua software, combinaties qua hardware matige firewalls en dergelijke. maw een hele mikmak samen.
ik zou wel eens weten hoeveel verschillende test momenten je moet draaien eer je weet hoe 'goed' het functioneerd.
tevens kun je je afvragen hoeveel van deze virussen nou voortkomen uit de onkunde van de basis (lees windows zelf).
ik ben eerder benieuwd hoe het komt dat het specifiek vooral in japan zoveel systemen gecrashed zijn, hoe komt dat zij eerder update dan de rest?
WinL @n4m3l35526 april 2005 15:59
Als jij weet hoe specifieke API's werken, als jij weet wat daaraan veranderd is, dat hoef je in feite alleen maar alle features te testen, nothing more.
Jij spreekt over vele cominaties, dat is onzin. Jij als programmeur moet gewoon zorgen dat blokX onafhankelijk draait t.o.v. blokY. Mocht door de toevallige cominatie van deze twee blokken en OS de boel niet functioneren, dan heb je heel brak geprogrammeerd. Meer kan ik niet zeggen. Als een feature werkt op een specifiek OS dan werkt het... snappie?

Dit is geen schande aan MS. Maar gewoon slechte client software. Valt je het niet op dat dit nieuwsbericht nieuw is in zijn soort? Toch wel raar, dat zet mij aan het denken. Even installen op XPSp2 is toch geen moeite jongens!!!!!!

We zeuren altijd op MS, maar deze keer kunnen zij er eigenlijk niets aan doen.
Misschien maakte het programmatje wel gebruik van een SystemCall (Van de kernel). Wie weet... we zullen het toch nooit weten. Maar een load van 100% door SP2 is voor mij toch wat nieuws. Daarbij ook te bedenken dat ook SP2 getest is met vele andere 3rd party software.

-->edit
Daarbij leggen een aantal goede tweakers hieronder ook uit, dat het probleem ook terugkomt in andere OS combinaties.
n4m3l355 @WinL26 april 2005 16:31
sinds wanneer is het zo dat windows zijn updates backwards compatible zijn? dit is uberhaubt niet te verwijten aan de client maar aan MS doordat iedere versie de broodnodige testen ondervinden moet. zelfs MS moet dat voor hun eigen updates/software doen ik geloof dat dit direct aangeeft hoe goed blokX met blokY van MS onderling werkt en dan moet daar een programmeur een passend iets op te weten maken zonder differentie? dacht het niet en zo blijkt het ook in de praktijk maar weer.
locke960 @WinL26 april 2005 20:08
Valt je het niet op dat dit nieuwsbericht nieuw is in zijn soort?

Nee, want dat is het niet. Mcafee heeft dit jaren geleden ook al gehad met hun beruchte 4102 DAT file.
Verwijderd @WinL26 april 2005 16:19
@psyBSD
Hmmzz dit is wel een heel simpele vergelijking.

Het is niet omdat een bepaald programma onder de 2.2 kernel draait dat het ook onder de 2.6 zal draaien.

Pakketen (dependencies) verandere ook. Normaal gezien is het de bedoeling om backwards compatible te blijven maar dit lukt niet altijd. Had overtijd nog een gdesklet die het niet meer deed omdat er iets verandert was in een python library.

Is het ook niet zo dat bij een major release de calls mogen veranderen.

Dus als je programma onder de 2.2 kernel een dependencie had naar een versie 3.15 of groter van GCC en in de tussen tijd naar kernel 2.6, veranderd dit pakket naar 4.1 dan zal het kunnen dat je programma het niet meer zal doen.

Kan iemand mijn redenering nog volgen :))
Olaf van der Spek @WinL26 april 2005 16:33
Ik kan me vergissen, maar dit is niet het geval bij windows 95, 98, ME en XP, XP - SP1, en XP SP2.
Waarom niet?
Een fatsoenlijke app geschreven voor 95 moet best werken onder XP SP2.
Firefox @WinL27 april 2005 07:56
Heeft Symantec niet al vaker met norton AV door updates een vergelijkbaar probleem gehad?

Tuurlijk is het niet nieuw... Maar het is wel heel erg jammer voor Trend, dit neemt een grote hap uit je reputatie.
HanH @WinL26 april 2005 23:02
tja, je zegt het zelf eigenlijk al. Jaren geleden was SP2 er natuurlijk nog niet... :Y)
Olaf van der Spek @n4m3l35526 april 2005 15:13
hoe komt dat zij eerder update dan de rest?
Tijdzones?
je kan je ook afvragen mede dankzij MS hoeveel varianten je moet testen
In ieder geval de variant met het laatste service pack en de laatste patches.
Verwijderd @n4m3l35526 april 2005 15:31
ik ben eerder benieuwd hoe het komt dat het specifiek vooral in japan zoveel systemen gecrashed zijn, hoe komt dat zij eerder update dan de rest?
Dat staat er niet. Er staat alleen "het Japanse bedrijf", waarmee wordt gezegd dat Trend Micro uit Japan komt (artikelvulling).
n4m3l355 @Verwijderd26 april 2005 15:55
ja klopt maar gisteren stond deze al op /. en daar stond dat tevens massaal de oostkust meen ik van japan niet waar het ongeluk gebeurd is er leed van had
Truus 26 april 2005 15:29
Door een fout in de antivirusdefinities van Trend Micro zijn meer dan 300.000 computers onbruikbaar geworden.
Is dat niet wat overdreven? :+

Ik bedoel, een re-install of patch verwijderen is misschien niet leuk, maar daarna is de computer wél weer te gebruiken.
Verwijderd @Truus26 april 2005 15:33
true,

maar heb jij als beheerder maar eens zo een 500 pcs die tegen de vlakte gaan :)
thegve @Verwijderd26 april 2005 23:49
waarschijnlijk kun je die pc's er wel van overtuigen dat ze dat proces even moeten killen. Ze zullen even nodig hebben om te antwoorden, maar over het algemeen lukt dat nog wel.

Overigens weet ik dit uit ervaring op een stage waar met Mcafee scanners werd gewerkt, het is een standaard functie van Mcafee om willekeurig te crashen.
Verwijderd @Truus26 april 2005 15:40
En roll-back van XP? :P
O nee, daar heb je CPU cycles voor nodig |:(
bszz 26 april 2005 14:59
Er is gewoon erg slecht getest. TrendMicro zelf geeft aan dat het probllem zich niet alleen voordoet bij XP sp2:
Any of the following Trend Micro products and Microsoft Windows operating systems / service packs:
OfficeScan
OfficeScan 5.58 Client and above (up to 7.0) on Windows XP SP2
OfficeScan 6.5 Client and above (up to 7.0) on Windows 2003 SP1
ServerProtect for NT
ServerProtect for NT 5.58 Normal Server on Windows 2000 SP4
ServerProtect for NT 5.58 Normal Server on Windows 2003 SP1
Client/Server/Messaging Suite 2.0 for SMB
Client/Server Suite 2.0 for SMB
PC-cillin (VirusBuster)
PC-cillin (VirusBuster) 2002 (PCC 9) on Windows ME and XP SP2
PC-cillin (VirusBuster) 2003 (PCC 10) on Windows ME and XP SP2
PC-cillin Internet Security (VirusBuster) 2004 (PCC 11) on Windows ME and XP SP2
PC-cillin Internet Security (VirusBuster) 2005 (PCC 12) on Windows ME and XP SP2
Zie ook: http://www.trendmicro-europe.com/pattern594/
Aapenootjes @bszz26 april 2005 16:04
He grappig, er was bij mij op het werk een computer gecrashed en wist niet waarom (hoef ik me helaas niet me bezig te houden) en zag vandaag dat officescan geinstalleer werd. Snap nu dus ook waarom die pc gecrashed was.
bszz @Aapenootjes26 april 2005 16:20
?????????

En ik snap waarom jij je er niet mee bezig mag houden.....
Verwijderd 26 april 2005 15:20
nieuwe kopje voor deze tekst

antivirussoftware even schadelijk als virus :+
Verwijderd 26 april 2005 16:44
Oeps....... LOL Foutje, bedankt zullen we maar zeggen. Erg stom van de makers dat je dit soort patches niet test met systemen met actuele servicepacks en patches. Erg dom. Ze zullen er wel een hoge schadeclaim voor krijgen reken maar naar 300.000 maal het aantal man uren dat de mensen niet kunnen werken das gemiddeld €40,- per man per uur plus de uren die de systeembeheerders nodig zijn om de pc weer te herstellen naar oorspronkelijke staat.
Willson @Verwijderd26 april 2005 16:48
ze zullen waarschijnlijk alleen de mensen vergoeden die een officiele licentie hebben op hun product, hoeveel procent zal dat van die 300.000 zijn ?

;)
familyman @Willson26 april 2005 16:49
Wel een interessante manier om dat te constateren.
BoGhi @Willson27 april 2005 23:57
.. ze vergoeden dus helemaal nix, zie update. Okay, het is misschien moeilijk hard te maken hoeveel schade je er van hebt gehad, maar dit lijkt nergens op. Dan heeft Ilse dat destijds toch een stuk beter gedaan, met hun KAV actie.
hanneman 26 april 2005 14:56
Zou Hotmail ook gecrasht zijn dan :+
Verwijderd @hanneman26 april 2005 15:02
Haha geloof je echt dat Hotmail op een WINXPsp2 pc draait? Zal me geen ruk verbazen als er nog is linux op draait ook :Y)
borft @Verwijderd26 april 2005 15:05
hotmail draait op bsd als ik het goed heb :)
silentsnake @borft26 april 2005 15:15
http://toolbar.netcraft.com/site_report?url=http://www.hotmail.com

Voordat Hotmail door MS was overgekocht draaide het inderdaad op FreeBSD.
Abom @borft26 april 2005 15:10
Niet meer volgens mij.
Dennis van der Stelt @borft26 april 2005 15:31
Dat zie ik niet terugkomen. Ik zie overigens de nederlandse host hier ofzo. Niet Amerikaans o.i.d. Wellicht dat die vroeger wel op FreeBSD draaide. Kan ik me overigens wel herinneren.

Tegenwoordig draaien ze alles op eigen software, wordt verteld! ;-)
spef @hanneman26 april 2005 15:10
Ligt eraan of ze bij MSN de auto-update functie aan hadden staan :)
Darude1234 @hanneman26 april 2005 15:33
zou wel leuk zijn }>

Ik vind het wel heel erg slordig dat het niet goed getest word. Weet nu in ieder geval dat ik lekker bij symantec en mcafee blijf :z
Dempsey 26 april 2005 15:31
Wanneer gaat Microsoft vergoedingen uitkeren voor alle foute patches en andere zaken??? :+

Kan gebeuren zo'n fout. Auto's roepen ze ook terug en dan hoor je niemand zeuren over vergoedingen.
FicoF @Dempsey26 april 2005 15:41
Die auto`s worden dan meestal teruggeroepen voordat ze crashen. ;)

Hoeveel procent van de gebruikers is het eigenlijk, die 300.000 stuks?
Du-Djutz @FicoF26 april 2005 16:57
Daarnaast geloof ik niet dat als er 350.000 downloads zijn geweest, dat dat 300.000 Windows machines waren die allen zijn gecrashed.
Ik hoor ook bij die 350.000 met mijn 8 Linux machines, maar die hadden dus geen probleem. En zoals ik al zei ik verwacht dat er wel meer UNIX / Linux machines bij die 350.000 horen.
MegamanNL @Dempsey26 april 2005 15:51
Precies...
En staat er niet ergens in die honderden regels tekst die je bij installatie moet accepteren dat Trend niet verantwoordelijk is voor e.e.a. ..?

Ik gebruik zowel privé als zakelijk Trend producten en ben er erg tevreden over. Liever 1 keer in de 10 jaar een foute update dan elke maand een virus omdat de scanner te laat komt met z'n updates, of bepaalde varianten van virussen niet herkent.
familyman @Dempsey26 april 2005 16:49
ja en als ik mijn auto tegen een boom knal, ga ik Citroën aanklagen omdat ze dat niet voorzien hebben.

Of als mn auto in de soep loopt, na het tunen door een derde, dan ga ik ook na citroen. Dacht het niet...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq