McAfee maakt brokken met foute virusdefinities

Afgelopen vrijdag heeft een fout in McAfee's op die dag uitgebrachte virusdefinitiebestand onschuldige bestanden als virus aan laten merken, en hebben sommige ongelukkige gebruikers die in quarantine gezet - en zijn ze bij nog grotere pechvogels verwijderd. Het bedrijf kreeg vrijdagavond meldingen binnen van een ongebruikelijk groot aantal bestanden dat door de antivirussoftware werd gemarkeerd als geïnfecteerd met het W95/CTX-virus - welke werden verwijderd bij gebruikers die de software opdracht hadden gegeven om aldus aangemerkte bestanden standaard een kopje kleiner te maken. De problemen zijn opgetreden met de producten VirusScan Enterprise 7.0 en hoger, Managed VirusScan 3.5 en 4.0 Beta, VirusScan Online 10 en hoger, LinuxShield en VirusScan 7.03 Consumer-editie. McAfee's virusdefinitiebestand 4715 bleek de schuldige; het bedrijf zegt rond de klok met klanten te hebben gewerkt om de schade te beperken. De problemen zouden alleen bij handmatig ingestelde scans zijn opgetreden, niet bij achtergrondscans.

McAfee logo (cropped) De fout is opgetreden bij een virusdefinitie-update voor het als laag risico aangemerkte W95/CTX-virus. Het automatisch laten verwijderen of in quarantine laten zetten van zogenaamd geïnfecteerde bestanden zou schadelijker zijn dan dit virus zelf. McAfee heeft een lijst (pdf) van getroffen bestanden gepubliceerd, evenals een aantal tools om de in quarantine gezette bestanden weer vrij te geven. Onder meer Microsoft Excel-applicatiebestanden, Macromedia Flash Player en installatiebestanden voor Windows XP zouden tot de foutief aangemerkte bestanden behoren. Volgens door McAfee onbevestigde berichten zouden daartoe onder meer ook verscheidene Oracle-bestanden behoren, evenals Dell OpenManage-, Cygwin- en Perl-bestanden.

Door Mick de Neeve

Feedback • 14-03-2006 10:35 55

14-03-2006 • 10:35

55

Bron: Techworld

Lees meer

Beveiligingssoftware Avast bokt na foute update
Beveiligingssoftware Avast bokt na foute update Nieuws van 12 april 2011
McAfee-bug kan gevoelige data blootleggen
McAfee-bug kan gevoelige data blootleggen Nieuws van 3 augustus 2006
Microsofts AntiSpyware-bèta vindt Norton een virus
Microsofts AntiSpyware-bèta vindt Norton een virus Nieuws van 12 februari 2006
Standaard geen antivirussoftware in Windows Vista
Standaard geen antivirussoftware in Windows Vista Nieuws van 1 februari 2006
Anti-virusproducent waarschuwt voor eigen product
Anti-virusproducent waarschuwt voor eigen product Nieuws van 20 januari 2006
Symantec roept op tot definitie 'rootkit'
Symantec roept op tot definitie 'rootkit' Nieuws van 16 januari 2006
Directeur McAfee treedt onverwacht af
Directeur McAfee treedt onverwacht af Nieuws van 11 januari 2006
McAfee gaat op isp-niveau scannen
McAfee gaat op isp-niveau scannen Nieuws van 6 september 2005
Meer producten en artikelen
Software

Reacties (55)

-Moderatie-faq
55
54
38
10
4
10
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 14 maart 2006 10:38
Ik ben al op onze E-Policy server aan 't kijken of er users op ons netwerk hierdoor getroffen zijn. Maar tot nu toe niks tegengekomen gelukkig. Het scheelt dat dit de definitie van afgelopen vrijdag is, dus lang niet iedereen heeft die definitie binnengekregen (hoop mensen 's middags vrij) De meeste PC's hier hebben gelijk 's maandag al 4716 gekregen.

Ik kreeg vanochtend al 'n mailtje van onze Amerikaanse collega's. Toch balen dat McAfee pas zo laat hiermee naar buiten komt. Ik heb hier 'n 2-tal Enterprise licenses bij hun lopen & ze hadden me op z'n minst hier 'n mailtje over kunnen sturen.
Toff @Verwijderd14 maart 2006 13:56
De meeste PC's hier hebben gelijk 's maandag al 4716 gekregen.
Sterker nog, ik kreeg vrijdagavond (thuis) al versie 4716 binnen, dus het risico heeft maar een paar uur bestaan, voor wie automatische update(melding) aan heeft staan.
XthinkZ 14 maart 2006 10:40
Ouch dat is een hele pijnlijke fout, vooral als bedrijven hierdoor tijdelijk stil komen te staan.
Ik vraag me af er schadeclaims zullen vallen, en erger nog een hoop bedrijven deze virusscanner de deur uit zullen doen.

Dit is wel een van de grote nachtmerries als antivirusbedrijf zijnde.
Je zou het bijna worst case scenario kunnen noemen.
p0p0 @XthinkZ14 maart 2006 11:24
maar dat zou het zijn als het niet op vrijdag was gebeurd, en als het ook tijdens de normale scan dus niet alleen de handmatige) scans zou gebeuren.
en natuurlijk als het iets langer had geduurd voor het weer opgelost zou zijn
denk dat de meeste bedrijven hier weinig van gemerkt hebben
Bor Coördinator Frontpage Admins / FP Powermod 14 maart 2006 10:43
Dit is al de tweede soortgelijke fout in ongeveer een jaar. Een jaar terug werd Dameware remote aangeduid als malware door McAfee enterprise. Het duurde toen ongeveer een dag voordat de fout weer werd hersteld.

Als work-around kunnen gebruikers van e-policy orchestrator de betreffende files tijdelijk op een exclude list zetten.
bavanandel @Bor14 maart 2006 10:53
Ik denk dat hier toch wel een verschil is. Dameware (evenals bijv. Remote Administrator, Serv-U etc.) mogen dan origineel geen malware zijn, bij mij op het werk is er een flinke reeks van hacks geweest waarbij deze programma's werden ingezet om systemen op afstand over te nemen en te infecteren.
Excel-bestanden etc. kunnen toch moeilijk als gelijkwaardig aan dit soort programma's worden beschouwd...
Bor Coördinator Frontpage Admins / FP Powermod @bavanandel14 maart 2006 14:11
Dameware, Radmin etc zijn daarbij wel gewoon legitieme tools om pc op afstand te beheren die door erg veel organisaties worden gebruikt. Ik vind het benoemen van dit soort applicaties als "risk" door een av scanner uiterst twijvelachtig. Daarbij zou in het geval van dit soort applicaties de default actie het geven van alleen een waarschuwing moeten zijn. Helaas is het in vrijwel geen enkele av management suite mogelijk meerdere "levels" aan te brengen waardoor je infected bestanden direct in quarantaine kunt laten plaatsen maar bij het soort "risk-ware" alleen een melding in de log geeft.

Dat dameware etc in jouw geval gebruikt is bij een hack zegt namelijk niet veel over de applicatie op zich. Het zegt daarintegen wel wat over de mate van afscherming van de servers en werkstations. Indien iemand remote dameware of bv radmin kan installeren zit het wat betreft beveiliging al niet goed. Ze hadden daarbij net zo goed een andere tool kunnen gebruiken zoals veel hackers ook doen. Het type hacker wat dameware etc gebruikt valt meestal in het type scriptkiddie.
Evil_Ed @Bor14 maart 2006 15:49
Ten eerste lijkt het me zinvol om niet iedereen maar gewoon toestemming te geven om dergelijke tooling te gebruiken / installeren.
Als je een klein beetje nadenkt over je opzet kun je binnen mcafee makkelijk een aantal verschillende policy's definieren waarbij de gewone gebruiker inderdaag geen remote admin tooling mag hebben (net als port sniffers en password crackers) It's all in the policy you define.....

Enne ten tweede vind ik de opmerking dat je de mate van afscherming beneden niveau vindt erg kort door de bocht , dameware remote control is een simpele executeable die
iedereen kan starten en als om wat voor reden dan ook ergens een server om wat voor reden niet gelocked staat (in een afgesloten server ruimte) dan is de drempel wel erg laag.

Ik hoor je al roepen .. dan moet je je console maar locken ..:-) , maar als jij met een server bezig bent en je loopt naar de achterkant van het serverrack om een kabel weg te werken lock je je console echt niet ....
Maar in die tijd kan er wel iets gebeuren ...

Dus imho moet het dus echt wel zijn dat dergelijke tools als malware worden aangegeven (tenzij jij zelf de policy wijzigt omdat je weet dat en hoe dergelijke tools worden gebruikt door specifieke personen binnen je bedrijf)

Maar dit is uiteraard simpelweg hoe ik ertegenaan kijk , en een ider mag daar weer anders over denken toch ....
Verwijderd @Bor15 maart 2006 09:43
Dan nog kun je met firewalling van poorten die niet open mogenstaan en het buitensluiten van IPs die op de servers niets te zoeken hebben een heel end komen. En idd... consoles locken, of desnoods zichzelf laten locken na zoveel tijd inactiviteit.

-R-
bavanandel @Bor15 maart 2006 16:07
Dat firewalling is precies waar men mee bezig is. Natuurlijk zal ik niet ontkennen dat het een beetje aan de late kant is, maar gezien de trage besluitvorming van een grote organisatie als die van mijn werkvoorziener duurt zoiets "even". Denk ook aan een overdosis externe IP-adressen die aanwezig was, ook niet echt een ultieme manier van beveiligen natuurlijk.

En natuurlijk zijn er, zoals ik al eerder zei, genoeg legitieme doeleinden te vinden waarvoor RAdmin en Dameware gebruikt kunnen worden, helaas zijn het wel applicaties waarbij installatie eigenlijk niet meer is dan het plaatsen van een executable.

En ja, er waren veel te veel mensen met local admin rechten. Maarrr... het leek erop dat de meeste hacks gedaan werden door gebruik te maken van fouten in Windows (tftpd etc, ook bij niet-local admins), en daar kun je soms weinig aan doen totdat alle systemen netjes up-to-date zijn.

Anyway de laatste tijd is het stukken minder, mede door een actief veegscript dat verdachte services etc. om zeep helpt.
Countess @Bor14 maart 2006 11:16
als het bij 1 programam of bestand blijft is het gewoon een false positvie, die heeft elke virus scanner wel een keer.

stuur ze er een mailtje over en ze lossen het die zelfde dag nog op over het algemeen (bij AVG free edition iniedergeval wel, je zou verwachten dat betaalde scanners minstens het zelfde zouden doen)
stappel_ 14 maart 2006 11:17
Zitten wel aardige dingen in de lijst:
comctl32.ocx
java.exe (diverse versies)
sqlservr.exe (MS sql server)
shutdown.exe
reg.exe
lcfd.exe (voor niet Tivoli kenners. dit is de Tivoli Framework client. Je kan dus niet meer Tivoli Inventory gebruiken om te scannen, een geen software distributie om nieuwe definities te verspreiden)
Dreams 14 maart 2006 10:57
Probleem trad idd op bij mijn vriendin's PC. 65 verdachte files! Heb toen alles afgesloten en nieuwe laten runnen. Die vond niets... :?
Vervolgens ClamWin en McAfee Stinger geDLed om meldingen te verifieren... Stinger vond niets (wat ik ook niet verwacht had) maar ClamWin vond 2 andere virusen, in andere files! :) handmatige scan met McAfee vond daar vervolgens idd ook virussen, maar anders dan w95/CTX.. :?

moraal van 't verhaal:
- zorg dat je een bootable virus floppy/CD klaar hebt liggen
- gebruik een andere virus scanner om meldingen te checken

edit: fixed links
rammes 14 maart 2006 13:13
voor de mensen die mail willen ontvangen van mcafee over dat files etc

http://vil.nai.com/vil/join-DAT-list.asp
Verwijderd 14 maart 2006 10:38
Hm ik heb enterprise 8 hier lopen, die hele vrijdag heeft ie aangestaan, maar geen centje pijn.
Truus @Verwijderd14 maart 2006 10:59
De problemen zouden alleen bij handmatig ingestelde scans zijn opgetreden, niet bij achtergrondscans.
;)
Verwijderd @Verwijderd14 maart 2006 10:53
Dan zou ik me zorgen gaan maken of ik wel uberhaupt virusdefinities binnenhaalde :+
loodgieter @Verwijderd14 maart 2006 11:30
Als je dat wilt zien.

Kijk dan in je console bij Automatische updates. en bij Help > about daar staat ook je laatste definitie aangegeven.

En ik meende dat je met ePO een notificatie kreeg als er een nieuwe definitie was, maar dat weet ik niet helemaal zeker.
Blackminister 14 maart 2006 10:39
De fout is opgetreden bij een virusdefinitie-update voor het als laag risico aangemerkte W95/CTX-virus. Het automatisch laten verwijderen of in quarantine laten zetten van zogenaamd geïnfecteerde bestanden zou schadelijker zijn dan dit virus zelf


MAAR waren die bestanden dan effectief besmet? Hoe kan een systeem nu moeilijk beginnen doen als je Swf & excel-bestanden wist....oké....installatiebestanden kan nog trouble geven 8-)
bavanandel @Blackminister14 maart 2006 10:49
Ik weet niet, ik hecht toch meer aan mijn documenten dan aan systeembestanden. Die laatste zijn ergens anders wel weer vandaan te halen, documenten die verwijderd zijn kan toch (zeker voor bedrijven) veel grotere problemen opleveren!

edit: korter. krachtiger.
frankvdtillaart 14 maart 2006 10:39
Nou begin ik me af te vragen hoe dit soort bedrijven (virus bestrijders) hun updates testen.

Lijkt me een redelijk simpele test-case om een pc met allerlei verschillende type data te laten scannen.

Iemand die ons inside-info kan verstrekken?
rept @frankvdtillaart14 maart 2006 10:42
Iedereen kan fouten maken! Bedrijven onderscheiden zich echter van elkaar door hoe ze deze fouten aanpakken naar hun klanten toe.
RetepV 14 maart 2006 10:46
Maar goed. Schadelijke fout, dus. Aan de andere kant is het sowieso niet zo slim om een bestand gelijk te verwijderen. Eerst in quarantaine, dan uitzoeken of je het wel kan verwijderen, en dan pas verwijderen.

Sowieso ben je een beetje een prutser-systeembeheerder als je een grote lijst van bestanden in de quarantaine ziet staan en die voor de zekerheid maar gelijk delete. Met zoveel bestanden kun je beter de server uit het netwerk trekken, proberen de data te redden voordat het te laat is en daarna een backup terug te zetten.
Verwijderd @RetepV14 maart 2006 11:11
Het quarantaine systeem in het algemeen is wel ok, een enkel bestand wat evt besmet is (of niet) wordt niet direct gewist, maar onschadelijk gemaakt zodat je zelf de mogelijkheid hebt om het te onderzoeken.

Het probleem in dit geval zijn niet al die false positives die _in_ quarantaine zijn gezet, maar dat je ze _eruit_ wilt krijgen...
Want... Waar moet alles ook al weer heen?

Niet voor niets verwijst men bij McAfee naar de laatste backup en.of system restore point..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq