Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 81 reacties
Submitter: magno

Door een foutieve update van de definitiebestanden beschouwde virusscanner Avast veel websites ten onrechte als ge´nfecteerd met 'HTML:script-inf'. De ontwikkelaars van de antivirussoftware hebben de fout inmiddels verholpen.

Sinds een update van de virusdefinitiebestanden op maandag, beschouwde Avast veel websites en bestanden als geïnfecteerd. Dat meldden gebruikers van de antivirussoftware op diverse internetfora, waaronder GoT. Avast heeft inmiddels een nieuwe update klaargezet die het probleem met de 'false positive'-meldingen oplost.

Avast biedt op zijn blog verontschuldigingen aan en zegt de fout binnen drie kwartier te hebben opgelost. Ook meldt het antivirusbedrijf dat enkel websites abusievelijk werden aangezien als geïnfecteerd, terwijl tweaker 10K meldde dat Avast ook games in zijn Steam-directory als besmet bestempelde.

Moderatie-faq Wijzig weergave

Reacties (81)

Is het nu gewoon mijn idee, of gebeurt dit de laatste tijd meer en meer, dat je vroeger veel minder van fouten bij antivirussoftware hoorde?
False positives komen steeds vaker voor imo.
Vooral keygens en cracks worden nogal eens (ten onrechte) als virussen gezien.
keygens en cracks bevatten heel vaak spyware, bv password-decrypters.
Dat ze je daarnaast een werkende key voor een app geven maakt ze in de ogen van veel mensen opeens 'ongevaarlijk'.
Dat is onzin. Hackers willen hun algoritme voor de crack of serial generator geheim houden, daarom gebruiken ze packers die voorkomen dat hun keygen onderworpen word aan reverse engineering.
Dat is onzin. Ze gebruiken packers om hun executable kleiner te maken, en je kunt ze gewoon weer uitpakken, en daarnaast helpt het reverse engineering niet tegengaan omdat ze toch uitgepakt moeten worden uitgevoerd op je PC - daarvoor worden weer andere technieken gebruikt.

Maar het is echt zo, in de meeste cracks en keygens zitten weldegelijk trojans. Natuurlijk niet de officiele van de release groups (en dan heb je idd wat false positives, door de gebruikte packers of omdat ze speciek als keygen staan aangemerkt), maar wel diegene die je van torrentsites, newsgroepen en cracksites aftrekt.

Als je denkt dat dit niet zo is ben je gewoon na´ef, en stel ik voor om er eens een paar door virustotal.com te halen.

[Reactie gewijzigd door .oisyn op 12 april 2011 13:58]

Bij de meeste (goede) torrents wordt vaak een virustotal.com link gepost, en je kan het altijd zelf controleren. De meeste keygens die je vindt op de grotere torrent websites zijn gewoon virusvrij, zo niet dan worden ze snel verwijderd of staat het allang in de comments.

Dus om te zeggen dat de meeste cracks/keygens trojans bezitten is juist overdrijven.
Aan virustotal heb je ook niet zoveel, als 1/3e van de scanners roept dat er iets verdachts in zit, en 2/3e niet.
Guess again. Je moet gewoon goed kijken naar wßt die 1/3e aan scanners zegt. Ik ben wel reports tegengekomen waarbij die 1/3e het bij het juiste eind had. Maar idd, als er gewoon iets als win32/generic of zoiets onzinnigs staat, dan betekent het meestal niets.
Ze gebruiken packers om hun executable kleiner te maken.
Dat lijkt mij weer onzin - want daar is zelden veel winst mee te boeken. Probeer maar eens een exe te rarren bijvoorbeeld; dat heeft meestal niet meer effect dan een jpg rarren (wat hooguit 0,1 promille ofzo gecomprimeerd kan worden).
Dat lijkt mij weer onzin
Prima dat jou dat lijkt, maar dan zit je er gewoon naast :). Executables comprimeren prima, in programmainstructies en relocation tables zit nou eenmaal niet zoveel entropie. ┴ls het dan niet goed lukt, dan zijn ze of al gepacked, of ze bevatten al gecomprimeerde resources (zoals bijvoorbeeld jpegs). Packers zijn ook een veelgebruikte tool in de demoscene.

Maar als proef op de som, een non-debug versie van de executable van Deus Ex 3 is 22,8MB zoals hij uit de compiler komt rollen. Gepackt met UPX is hij slechts 5,4MB, een compressie factor van 23,7%

Maar goed, dan denk je misschien, 22MB aan code is wel erg veel. Een rekenmachine app van mij, Kol Q l8or 2, is normaal 395kB. Na compressie met UPX slechts 166kB. 42%.

.edit: geen false positives trouwens.

[Reactie gewijzigd door .oisyn op 13 april 2011 14:50]

Ok, maar waarom dan packen en niet bijv. gewoon zippen...?
Hangt er maar net vanaf waar je het vandaan haalt. Als je een "scene release" download zal daar in 99,9% van de gevallen geen spyware e.d. in zitten. Als je gaat googlen naar keygens kan ik me voorstellen dat daar juist 90% wÚl spyware/malware bevat.
Deze worden vaak gezien als 'hacks' en dit klopt natuurlijk ook, want dat zijn het.
Nee ze worden bijna altijd als 'trojan' gezien, niet als 'hacks'.
Vaak is 't dan een 'algemene trojan', zonder specifieke technische info (anders dan het standaard scherm wat een trojan is en dat je de boel moet scannen, veilge modus moet gaan, etc... 't Standaardriedeltje).

[Reactie gewijzigd door kimborntobewild op 12 april 2011 21:41]

Dat ligt vaak aan de packer die gebruikt is...
Snap niet waarom dit weggemod wordt, het is waar.. Vooral cracks worden vaak ingepakt, met bijvoorbeeld software als Armadillo. Dit is om te voorkomen dat de uitgever van het spel de crack zelf kan reverse-engineeren, om te zien hoe die werkt en vervolgens het probleem op te lossen.

Dat is ook het probleem, een packed bestand is moeilijker te analyseren, en vooral Heuristics gaan daardoor de mist in. Ik vind het dan ook goed dat virusscanners in ieder geval een melding geven dat een bestand "geobfusceerd" is, ik reken die gevallen niet onder de "false positives".
Vooral keygens en cracks worden nogal eens (ten onrechte) als virussen gezien.
Zou best (meestal) kunnen, maar hoe weet je dat zeker? Ben je dan programmeur die alles gaat reverse-engineeren?
Veel keygens worden door de makers van de programma's die gekraakt zijn gereport bij antivirus makers als trojan om ervoor te zorgen dat minder mensen ze gaan gebruiken.

Als je een keygen echt niet vertrouwd, draai het dan in sandboxie of zo (die is laatst weer geupdate voor win7!), kan je praktisch weinig overkomen, als je de keygen maar weer afsluit voor je verdergaat met passwords intypen.

OF je kan natuurlijk altijd gewoon braaf de software kopen (wat ik gewoon zou doen als je de maker van het product wil ondersteunen).
Dit is voor het eerst dat ik hoor dat Avast een foutje heeft gemaakt eigenlijk. Want het werkt bij mij al 3 perfect
een paar maanden geleden hebben ze ook een false positive fout gehad, met wat meer desastreuze gevolgen omdat het een system file verwijderde cq in quarantaine zette...

dit soort fouten komen echter bij alle AV producenten langs
Ik denk niet dat je Avast bedoeld. Zie onder over AVG.
(Even om andere mensen niet in de war te brengen en Avast niet te benadelen)

[Reactie gewijzigd door SCS2 op 14 april 2011 09:54]

ik bedoel echt avast (paar maanden zou ook een jaar kunnen zijn)

ik gebruik Avast thuis en op mn werk, op mn werk heb ik 1 pc gehad die met de false positives kwam omdat deze 's nachts aan had gestaan. De rest ging pas aan toen de FP opgelost was.
Naar aanleiding van deze FP met deze gevolgen heeft het Avast team toen ook in het Evangelisten deel van het forum een special nood telefoonnummer gepost welke alleen bij deze situaties gebruikt mag worden.

edit: tijd gaat verdomd hard, tis al meer dan een jaar geleden: 08-01-2010 is het nummer gepost dus 6 of 7 januari 2010 was de laatste bekende false positive

[Reactie gewijzigd door WPN op 16 april 2011 11:41]

Wat is vroeger? 5 jaar, 10 jaar? Tegenwoordig moet een antiviruspakket veel meer doen dan "vroeger". Nu willen we dat ook spam wordt tegen gehouden, sites bekeken worden etc. Vroeger was het een virus in een programma of mailtje. Dat is wat gemakkelijker programmeren dan een volledige suite.
Vroeger is de afgelopen 2 jaar waarin AVG 2x Windows liet crashen na een update.
Nou inderdaad. Daarmee vergeleken is dit akkefietje van Avast peanuts. Ik heb heel wat laptops en PC's na die miskleunen van AVG moeten herstellen.

Inderdaad zitten er soms echte Trojans en adware in keygens en cracks. Maar ook de false positives nemen toe omdat het bij cracks gaat om gewijzigde inhoud van een .exe of .dll . terwijl er met het bestand niets mis is.

[Reactie gewijzigd door Pineka op 12 april 2011 19:59]

Hoe complexer alles word, hoe sneller men fouten maakt maar ook hoe moeilijker testen word.
Soms zijn ze gewoon net even te snel met de update, maarja aan de andere kant verwachten klanten ook altijd een 100% bescherming en dan glipt er wel eens wat
tussen door. En ze hebben het allemaal al een keer gehad hoor, AVG, norton enz...

Zolang ze het maar niet te vaak doen is het altijd beter dan een virus ;)
Wel, waarschijnlijk niet statistisch correct, maar een virus heeft nog nooit wat gesloopt bij mij, en viruskillers al een paar keer..
Zet een mens wel aan het denken natuurlijk ;).

Heb zel nog nooit zelf maar een melding van virus gehad, gelukkig kom ik vaak genoeg bij mensen die dat wel hebben om mij er het nut van te bewijzen.
Kwam er gisteravond ook achter. Op andere pc met Avast getest: precies hetzelfde probleem.
Dus ik vermoedde al dat het aan Avast lag :)
Krijg je die fix automatisch met je virusdefinities of moet je handmatig het programma updaten?

[Reactie gewijzigd door tweaker2010 op 12 april 2011 12:01]

Ik wilde naar aanleiding van dit nieuwsartikel updaten, maar blijkbaar was de boel alweer up-to-date :)

Vandaag ook een paar keer last van gehad, programma's die gister nog prima draaiden kregen nu ineens een warning met de aanbeveling het programma in de sandbox te draaien. Toegegeven, niet echt netjes, maar wel te overleven. Ik heb wel eens ergere fouten gezien bij concurrenten. Ik gebruik Avast nu al jaren en dit is echt de eerste keer dat ik zoiets tegenkom.
Jammer Avast is mijn favoriete scanner.

De fout lijkt mij niet heel ernstig aangezien deze snel is opgelost.
En het alleen websites als verdacht aanmerkt gevolg is dat je deze website niet bezoekt en in het gunstigste geval wanneer je het later nogmaals probeert is het "probleem" opgelost.

Op het blog van Avast zie je echter diverse mensen die al hun eiegen documenten niet meer vertrouwde en/of hebben verwijderd en die behoorlijk kwaad zijn. Volgens mij hebben zij de melding niet helmaal goed begrepen.
Niet helemaal,

Als je zelf een webbuilder bent en met deze fout je PC gaat scannen zal hij ook de website html en js verwijderen die jezelf gemaakt hebt.

Dit was bij mij ook het geval. Ze gingen bij mij in de kluis en heb ze zelf terug kunnen halen. Maar als je ze helemaal kwijt zou zijn dan wordt je daar niet vrolijk van :P
Bij Norman gebeurde dit vanochtend bij mij ook. Gebruiken die dezelfde definities als Avast? Was inderdaad wel raar om sites als iBood gemarkeerd te zien met een trojan horse.

Momenteel heb ik hier geen last meer van.
Ik gebruik norman ook en zit al vrijwel heel de ochtend op de pc, ik zag ook dat hij ging updaten maar ik heb nergens last van gehad hoor.


Wel vervelend als je gaat surfen en alle sites ineens vol virussen staan, gelukkig dat ze snel een oplossing hebben gemaakt en de klanten weer tevreden zijn. Dat noem ik support en het oplossen van je eigen foutjes.
Als je ziet hoe vaak antivirus negatief in het nieuws is, dan ga je je afvragen waarom mensen het nog Řberhaupt gebruiken, enkele bekende problemen:
-computer boot regelmatig niet (zie nieuws afgelopen jaar)
-computer voelt een stuk trager aan
-constant antivirus popups
-constant updates

Als (hypothetisch) mijn systeem een virus krijgt, dan ben IK het schuld. Het nemen van verantwoordelijkheid zorgt ervoor dat mijn systeem langer meegaat (batterijduur) sneller opstart (geen AV laden), betere performance heeft (geen constante IO scans), etc etc etc.

Een snel systeem begint bij jezelf.

Ik zie overigens een hele grote zwarte wolk boven al die AV bedrijven hangen.. MS heeft namelijk gezegd dat ze voor Windows 8 iets aan de 'beveiliging' gaan doen. Als dat waar is, dan zitten die bedrijven met een groot probleem.
popups kun je uitzetten
updates hoef je niks van te merken.

Bij een bijzondere fout van de virusscaner kon het zijn dat je pc niet meer opstart. Dat is zeer zeker vervelend. Maar dat heb je overal mee.

Een virusscanner maakt je pc iets trager (voelt bij mij niet een stuk trager aan) maar als je goed besmet bent met virus/spyware etc wordt de pc ook trager.

Jij rijdt zeker ook in een auto zonder veiligheidsconstructie (die maakt de auto zwaarder en langzamer) In een auto zonder boordcomputer (als die ontregeld is start je auto ook niet meer)
Aha, dat was er dus aan de hand. Had gisteren mijn vader in paniek aan de telefoon, die precies bovenstaande melding te zien kreeg toen hij naart Startpagina.nl en Telegraaf.nl ging.
Ah dat was er dus aan de hand, had al in paniek mijn moeder op mijn dak. Kon helemaal niets meer op internet.
Jammer, dit is het eerste foutje wat ik van Avast hoor. Maar het is niet een enorm probleem. Ik gebruik Avast al jaren en jaren Avast zonder echte problemen. Een keer door eigen toedoen een infectie gehad die hij niet aankon. Toen heb ik dus drastischere maatregelen moeten nemen, maar voor de rest de afgelopen 5/6 jaar heerlijk met Avast gewerkt.
Avast biedt op zijn blog verontschuldigingen aan en zegt de fout binnen drie kwartier te hebben opgelost. Ook meldt het antivirusbedrijf dat enkel websites abusievelijk werden aangezien als ge´nfecteerd, terwijl tweaker 10K meldde dat Avast ook games in zijn Steam-directory als besmet bestempelde.
De melding van 10K klopt, ik had Dawn of War 2 onder steam staan, deze werd bij de diepte scan inderdaad aangemerkt als geinfecteerd. Ik weet niet of deze bestanden automatisch verwijderd zijn of niet, anders gewoon even een nieuwe install doen, zou niet zo'n probleem mogen zijn.

Ik durf verder niet te zeggen welke games ook als geinfecteerd worden/werden bestempeld, maar houd er rekening mee.
Ik kreeg al mail van bezorgde bezoekers, een collega mailde toen met avast en kreeg al snel als antwoord dat het een fout was en de update het zou verhelpen. Nu is iedereen weer blij :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True