Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties
Bron: Techworld

Afgelopen vrijdag heeft een fout in McAfee's op die dag uitgebrachte virusdefinitiebestand onschuldige bestanden als virus aan laten merken, en hebben sommige ongelukkige gebruikers die in quarantine gezet - en zijn ze bij nog grotere pechvogels verwijderd. Het bedrijf kreeg vrijdagavond meldingen binnen van een ongebruikelijk groot aantal bestanden dat door de antivirussoftware werd gemarkeerd als ge´nfecteerd met het W95/CTX-virus - welke werden verwijderd bij gebruikers die de software opdracht hadden gegeven om aldus aangemerkte bestanden standaard een kopje kleiner te maken. De problemen zijn opgetreden met de producten VirusScan Enterprise 7.0 en hoger, Managed VirusScan 3.5 en 4.0 Beta, VirusScan Online 10 en hoger, LinuxShield en VirusScan 7.03 Consumer-editie. McAfee's virusdefinitiebestand 4715 bleek de schuldige; het bedrijf zegt rond de klok met klanten te hebben gewerkt om de schade te beperken. De problemen zouden alleen bij handmatig ingestelde scans zijn opgetreden, niet bij achtergrondscans.

McAfee logo (cropped) De fout is opgetreden bij een virusdefinitie-update voor het als laag risico aangemerkte W95/CTX-virus. Het automatisch laten verwijderen of in quarantine laten zetten van zogenaamd ge´nfecteerde bestanden zou schadelijker zijn dan dit virus zelf. McAfee heeft een lijst (pdf) van getroffen bestanden gepubliceerd, evenals een aantal tools om de in quarantine gezette bestanden weer vrij te geven. Onder meer Microsoft Excel-applicatiebestanden, Macromedia Flash Player en installatiebestanden voor Windows XP zouden tot de foutief aangemerkte bestanden behoren. Volgens door McAfee onbevestigde berichten zouden daartoe onder meer ook verscheidene Oracle-bestanden behoren, evenals Dell OpenManage-, Cygwin- en Perl-bestanden.

Moderatie-faq Wijzig weergave

Reacties (55)

Ik ben al op onze E-Policy server aan 't kijken of er users op ons netwerk hierdoor getroffen zijn. Maar tot nu toe niks tegengekomen gelukkig. Het scheelt dat dit de definitie van afgelopen vrijdag is, dus lang niet iedereen heeft die definitie binnengekregen (hoop mensen 's middags vrij) De meeste PC's hier hebben gelijk 's maandag al 4716 gekregen.

Ik kreeg vanochtend al 'n mailtje van onze Amerikaanse collega's. Toch balen dat McAfee pas zo laat hiermee naar buiten komt. Ik heb hier 'n 2-tal Enterprise licenses bij hun lopen & ze hadden me op z'n minst hier 'n mailtje over kunnen sturen.
De meeste PC's hier hebben gelijk 's maandag al 4716 gekregen.
Sterker nog, ik kreeg vrijdagavond (thuis) al versie 4716 binnen, dus het risico heeft maar een paar uur bestaan, voor wie automatische update(melding) aan heeft staan.
Ouch dat is een hele pijnlijke fout, vooral als bedrijven hierdoor tijdelijk stil komen te staan.
Ik vraag me af er schadeclaims zullen vallen, en erger nog een hoop bedrijven deze virusscanner de deur uit zullen doen.

Dit is wel een van de grote nachtmerries als antivirusbedrijf zijnde.
Je zou het bijna worst case scenario kunnen noemen.
maar dat zou het zijn als het niet op vrijdag was gebeurd, en als het ook tijdens de normale scan dus niet alleen de handmatige) scans zou gebeuren.
en natuurlijk als het iets langer had geduurd voor het weer opgelost zou zijn
denk dat de meeste bedrijven hier weinig van gemerkt hebben
Dit is al de tweede soortgelijke fout in ongeveer een jaar. Een jaar terug werd Dameware remote aangeduid als malware door McAfee enterprise. Het duurde toen ongeveer een dag voordat de fout weer werd hersteld.

Als work-around kunnen gebruikers van e-policy orchestrator de betreffende files tijdelijk op een exclude list zetten.
Ik denk dat hier toch wel een verschil is. Dameware (evenals bijv. Remote Administrator, Serv-U etc.) mogen dan origineel geen malware zijn, bij mij op het werk is er een flinke reeks van hacks geweest waarbij deze programma's werden ingezet om systemen op afstand over te nemen en te infecteren.
Excel-bestanden etc. kunnen toch moeilijk als gelijkwaardig aan dit soort programma's worden beschouwd...
Dameware, Radmin etc zijn daarbij wel gewoon legitieme tools om pc op afstand te beheren die door erg veel organisaties worden gebruikt. Ik vind het benoemen van dit soort applicaties als "risk" door een av scanner uiterst twijvelachtig. Daarbij zou in het geval van dit soort applicaties de default actie het geven van alleen een waarschuwing moeten zijn. Helaas is het in vrijwel geen enkele av management suite mogelijk meerdere "levels" aan te brengen waardoor je infected bestanden direct in quarantaine kunt laten plaatsen maar bij het soort "risk-ware" alleen een melding in de log geeft.

Dat dameware etc in jouw geval gebruikt is bij een hack zegt namelijk niet veel over de applicatie op zich. Het zegt daarintegen wel wat over de mate van afscherming van de servers en werkstations. Indien iemand remote dameware of bv radmin kan installeren zit het wat betreft beveiliging al niet goed. Ze hadden daarbij net zo goed een andere tool kunnen gebruiken zoals veel hackers ook doen. Het type hacker wat dameware etc gebruikt valt meestal in het type scriptkiddie.
Ten eerste lijkt het me zinvol om niet iedereen maar gewoon toestemming te geven om dergelijke tooling te gebruiken / installeren.
Als je een klein beetje nadenkt over je opzet kun je binnen mcafee makkelijk een aantal verschillende policy's definieren waarbij de gewone gebruiker inderdaag geen remote admin tooling mag hebben (net als port sniffers en password crackers) It's all in the policy you define.....

Enne ten tweede vind ik de opmerking dat je de mate van afscherming beneden niveau vindt erg kort door de bocht , dameware remote control is een simpele executeable die
iedereen kan starten en als om wat voor reden dan ook ergens een server om wat voor reden niet gelocked staat (in een afgesloten server ruimte) dan is de drempel wel erg laag.

Ik hoor je al roepen .. dan moet je je console maar locken ..:-) , maar als jij met een server bezig bent en je loopt naar de achterkant van het serverrack om een kabel weg te werken lock je je console echt niet ....
Maar in die tijd kan er wel iets gebeuren ...

Dus imho moet het dus echt wel zijn dat dergelijke tools als malware worden aangegeven (tenzij jij zelf de policy wijzigt omdat je weet dat en hoe dergelijke tools worden gebruikt door specifieke personen binnen je bedrijf)

Maar dit is uiteraard simpelweg hoe ik ertegenaan kijk , en een ider mag daar weer anders over denken toch ....
Dan nog kun je met firewalling van poorten die niet open mogenstaan en het buitensluiten van IPs die op de servers niets te zoeken hebben een heel end komen. En idd... consoles locken, of desnoods zichzelf laten locken na zoveel tijd inactiviteit.

-R-
Dat firewalling is precies waar men mee bezig is. Natuurlijk zal ik niet ontkennen dat het een beetje aan de late kant is, maar gezien de trage besluitvorming van een grote organisatie als die van mijn werkvoorziener duurt zoiets "even". Denk ook aan een overdosis externe IP-adressen die aanwezig was, ook niet echt een ultieme manier van beveiligen natuurlijk.

En natuurlijk zijn er, zoals ik al eerder zei, genoeg legitieme doeleinden te vinden waarvoor RAdmin en Dameware gebruikt kunnen worden, helaas zijn het wel applicaties waarbij installatie eigenlijk niet meer is dan het plaatsen van een executable.

En ja, er waren veel te veel mensen met local admin rechten. Maarrr... het leek erop dat de meeste hacks gedaan werden door gebruik te maken van fouten in Windows (tftpd etc, ook bij niet-local admins), en daar kun je soms weinig aan doen totdat alle systemen netjes up-to-date zijn.

Anyway de laatste tijd is het stukken minder, mede door een actief veegscript dat verdachte services etc. om zeep helpt.
als het bij 1 programam of bestand blijft is het gewoon een false positvie, die heeft elke virus scanner wel een keer.

stuur ze er een mailtje over en ze lossen het die zelfde dag nog op over het algemeen (bij AVG free edition iniedergeval wel, je zou verwachten dat betaalde scanners minstens het zelfde zouden doen)
Zitten wel aardige dingen in de lijst:
comctl32.ocx
java.exe (diverse versies)
sqlservr.exe (MS sql server)
shutdown.exe
reg.exe
lcfd.exe (voor niet Tivoli kenners. dit is de Tivoli Framework client. Je kan dus niet meer Tivoli Inventory gebruiken om te scannen, een geen software distributie om nieuwe definities te verspreiden)
Probleem trad idd op bij mijn vriendin's PC. 65 verdachte files! Heb toen alles afgesloten en nieuwe laten runnen. Die vond niets... :?
Vervolgens ClamWin en McAfee Stinger geDLed om meldingen te verifieren... Stinger vond niets (wat ik ook niet verwacht had) maar ClamWin vond 2 andere virusen, in andere files! :) handmatige scan met McAfee vond daar vervolgens idd ook virussen, maar anders dan w95/CTX.. :?

moraal van 't verhaal:
- zorg dat je een bootable virus floppy/CD klaar hebt liggen
- gebruik een andere virus scanner om meldingen te checken

edit: fixed links
voor de mensen die mail willen ontvangen van mcafee over dat files etc

http://vil.nai.com/vil/join-DAT-list.asp
Hm ik heb enterprise 8 hier lopen, die hele vrijdag heeft ie aangestaan, maar geen centje pijn.
De problemen zouden alleen bij handmatig ingestelde scans zijn opgetreden, niet bij achtergrondscans.
;)
Dan zou ik me zorgen gaan maken of ik wel uberhaupt virusdefinities binnenhaalde :+
Als je dat wilt zien.

Kijk dan in je console bij Automatische updates. en bij Help > about daar staat ook je laatste definitie aangegeven.

En ik meende dat je met ePO een notificatie kreeg als er een nieuwe definitie was, maar dat weet ik niet helemaal zeker.
De fout is opgetreden bij een virusdefinitie-update voor het als laag risico aangemerkte W95/CTX-virus. Het automatisch laten verwijderen of in quarantine laten zetten van zogenaamd ge´nfecteerde bestanden zou schadelijker zijn dan dit virus zelf


MAAR waren die bestanden dan effectief besmet? Hoe kan een systeem nu moeilijk beginnen doen als je Swf & excel-bestanden wist....okÚ....installatiebestanden kan nog trouble geven 8-)
Ik weet niet, ik hecht toch meer aan mijn documenten dan aan systeembestanden. Die laatste zijn ergens anders wel weer vandaan te halen, documenten die verwijderd zijn kan toch (zeker voor bedrijven) veel grotere problemen opleveren!

edit: korter. krachtiger.
Nou begin ik me af te vragen hoe dit soort bedrijven (virus bestrijders) hun updates testen.

Lijkt me een redelijk simpele test-case om een pc met allerlei verschillende type data te laten scannen.

Iemand die ons inside-info kan verstrekken?
Iedereen kan fouten maken! Bedrijven onderscheiden zich echter van elkaar door hoe ze deze fouten aanpakken naar hun klanten toe.
Maar goed. Schadelijke fout, dus. Aan de andere kant is het sowieso niet zo slim om een bestand gelijk te verwijderen. Eerst in quarantaine, dan uitzoeken of je het wel kan verwijderen, en dan pas verwijderen.

Sowieso ben je een beetje een prutser-systeembeheerder als je een grote lijst van bestanden in de quarantaine ziet staan en die voor de zekerheid maar gelijk delete. Met zoveel bestanden kun je beter de server uit het netwerk trekken, proberen de data te redden voordat het te laat is en daarna een backup terug te zetten.
Het quarantaine systeem in het algemeen is wel ok, een enkel bestand wat evt besmet is (of niet) wordt niet direct gewist, maar onschadelijk gemaakt zodat je zelf de mogelijkheid hebt om het te onderzoeken.

Het probleem in dit geval zijn niet al die false positives die _in_ quarantaine zijn gezet, maar dat je ze _eruit_ wilt krijgen...
Want... Waar moet alles ook al weer heen?

Niet voor niets verwijst men bij McAfee naar de laatste backup en.of system restore point..

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True