Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties
Submitter: Iva_Bigone

Anti-viruspakketten van Microsoft bestempelden verschillende Google-domeinen tijdelijk als een virus in Internet Explorer. De av-programma's blokkeerden gebruikers de toegang, maar Microsoft bracht snel nadien een fix uit.

Microsoft bracht voor zijn anti-viruspakketten, Security Essentials en Microsoft Forefront, een foute virusdefinitie uit. De websites van Google werden, na de laatste update 1.119.1972.0, door de programma's onterecht verdacht het virus 'Exploit:JS/Blacole.BW' te bevatten. Microsoft bracht snel nadien een nieuwe virusdefinitie uit die het false positive-probleem oploste. Andere browsers dan IE of andere viruspakketten gaven geen false positives.

Enkele maanden geleden nog werd Google Chrome verwijderd van computers omdat Security Essentials het foutief bestempelde als het 'PWS:Win32/Zbot'-virus.

Microsoft zegt dat Google een virus heeft

Moderatie-faq Wijzig weergave

Reacties (52)

Ik heb door false-positives ooit (jaren geleden) een corrupte database gehad (met bijbehorende quarantaine waaruit de database file niet terug te vissen was, en dus een halve dag downtime). De balans tussen de veiligheid die een virusscanner moet geven (een virusscanner loopt altijd achter de feiten aan, is een reactief systeem op virussen die al bekend zijn) en werkbaarheid is een lastige.

Waar een IT afdeling zoveel mogeljk dicht zet (en dankzij de virusscanner je PC ook nog lekker wat Watt verstookt) bijt dat soms behoorlijk met bijv. databases en development werk. Ik zou weleens willen weten of er een onderzoek gedaan is wat de baten/lasten van een virusscanner zijn. Het zou me niets verbazen dat door false-positives ook behoorlijk wat schade is ontstaan. Alleen zullen bedrijven dat niet direct aan de grote klok hangen.

Een goed design van het OS helpt al een eind. Niet meer software erop zetten dan nodig ook al. En dan nog een stel beheerders & gebruikers dat nadenkt. Dat wordt de (bijna) ideale wereld :). In de praktijk weet een beheerder niet (altijd of volledig) waarvoor een systeem allemaal voor gebruikt wordt (en dus krijg je een grootste gemene deler met AV rules) en een gebruiker die niet (altijd) door heeft wat de consequenties zijn van zijn/haar gedrag. Sowieso is file-access scannen op een mega-grote-database-met-veel-user-access niet echt handig.

Vermoedelijk calculeert een AV bouwer de false positives (op zijn heuristic scans) gewoon in. Zijn er geen grote claims, dan komen ze daar prima mee weg. Ook hier weer is het kiezen voor een (lastige) balans.
Ik heb door false-positives ooit (jaren geleden) een corrupte database gehad (met bijbehorende quarantaine waaruit de database file niet terug te vissen was, en dus een halve dag downtime). De balans tussen de veiligheid die een virusscanner moet geven (een virusscanner loopt altijd achter de feiten aan, is een reactief systeem op virussen die al bekend zijn) en werkbaarheid is een lastige.
Dit ligt er natuurlijk aan hoe een virusscanner is ingesteld. Op een server zou ik bijvoorbeeld nooit automatisch bestanden weggooien/verplaatsen aanzetten, omdat de kans dat nieuwe virussen in bestanden zich voordoen alleen maar groot is bij directe interactie door een gebruiker (waardoor de beheerder meteen gepast kan reageren op de gegeven waarschuwing).
Waar een IT afdeling zoveel mogeljk dicht zet (en dankzij de virusscanner je PC ook nog lekker wat Watt verstookt) bijt dat soms behoorlijk met bijv. databases en development werk. Ik zou weleens willen weten of er een onderzoek gedaan is wat de baten/lasten van een virusscanner zijn. Het zou me niets verbazen dat door false-positives ook behoorlijk wat schade is ontstaan. Alleen zullen bedrijven dat niet direct aan de grote klok hangen.
Het energieverbruik van virusscanners op werkstations/laptops valt wel mee. Als het een PC te veel vertraagd, komt dat eerder door de vertraging die een harde schijf brengt. Neem een SSD en de vertraging die een virusscanner in de praktijk brengt zal nihil zijn.
Een goed design van het OS helpt al een eind. Niet meer software erop zetten dan nodig ook al. En dan nog een stel beheerders & gebruikers dat nadenkt. Dat wordt de (bijna) ideale wereld :). In de praktijk weet een beheerder niet (altijd of volledig) waarvoor een systeem allemaal voor gebruikt wordt (en dus krijg je een grootste gemene deler met AV rules) en een gebruiker die niet (altijd) door heeft wat de consequenties zijn van zijn/haar gedrag. Sowieso is file-access scannen op een mega-grote-database-met-veel-user-access niet echt handig.
Een 'mega-grote-database-met-veel-user-access' hoort sowieso niet als bestand beschikbaar te zijn. Die zet je op een server en maak je toegankelijk via een netwerk (niet als bestand). Als het teveel schijftoegang vreet aan de kant van de server, kan altijd nog gekozen worden om de folder waarin de databasebestanden staan uit te zonderen in de virusscanner.

[Reactie gewijzigd door The Zep Man op 15 februari 2012 21:35]

Vreemd dat dit voorval door velen met de mantel der liefde overdekt wordt, want het was snel opgelost...

Hoeveel andere websites worden er misschien nog onterecht geblokkeerd, maar omdat het niet zo veel gebruikte/betrouwde websites zijn zoals google valt het niet direct op dat er een fout gemaakt wordt door de antivirus...

Waarom blokkeert een antivirus überhaupt een website?
Dat schadelijke scripts en dergelijke worden tegengehouden... maar de hele website ontoegankelijk maken?

Hier klopt toch iets niet?
perfect toch?

een website waar een schadelijk script op staat mogen ze van mij direct offline halen.
helaas zijn de wetten daar ontoereikend voor.
Waarom blokkeert een antivirus überhaupt een website?
Omdat er inmiddels miljoenen websites zijn die via een script (java, direct x etc.) een trojan horse proberen te installeren misschien?
Lees anders even ook de volgende zin misschien?
Die heb ik gelezen uiteraard, maar maakt toch geen verschil? Een website die ervoor bedoeld is dergelijke software op je pc te installeren, mag wat mij betreft volledig geblokt worden hoor.
Nou ja simple.. als 1 foutief script op staat dat aangemerkt wordt als virus. maar op pagina 2 staat ook een fout script maar is nog niet bekend als virus. Bescherm je dus de gebruiker tegen de website... Andere manier is dan wel om dan http://website.com/pagina2 in te tikken. Dan zou je wel verder kunnen komen.
Google heeft wel vaker schadelijke code gehad in hun advertenties. Dus zo vreemd is het niet. Virusscanners blokkeren wel vaker websites met schadelijke code.
Gisteren avond, Gaf mijn TMG server ook deze error.. draaidje geopend op GOT hierover..
Google ?? of Virus..

Probleem zat dus niet alleen in Security Essentials maar ook in

TMG Server 2010 Mogelijk ook andere ISA producten
Microsoft Forefront EndPoint protection.

Beetje jammer van MS dat ze hier niet beter op letten. Google is toch 1 van de grotere websites die worden bezocht.
Ik vraag me dan toch af wat voor duistere scriptjes er op sommige websites worden gebruikt dat het aangemerkt wordt als virus.

Zal ongetwijfeld iets heuristisch geweest zijn.
Programma zoals Chrome die zich buiten de normale locaties proberen te installeren zouden door antimallware apps geblockt moeten worden.
Of in ieder geval door de gebruikers / beheerders van de computers.
Feitelijk gezien is het een virus/malware, het zet zichzelf in een data gebied, en het wordt als sluipware bij veel programmas aangeboden, net als toolbars etc.
gisteravond waren er al topics op GOT over dit onderwerp maar toen was nog niet duidelijk hoe de vork in de steel zit/zat.
waarschijnlijk hebben nog niet heel veel mensen problemen ervaren omdat ze de update nog niet binnen hadden gehaald.
Grappig, "inbreuk op de privacy" door Google pagina's zou toch al eerder dan vandaag als alarmbel af moeten zijn gegaan... O-)

Maar serieus:
Zodra er dan een legitiem product of site gemeld wordt door een SE gebruiker, dan pas zal MS zien dat ze een uitzondering in de antivirusregels (heuristics?) moeten inbouwen. Ik geloof niet dat ze alle software en sites gaan testen of een aanpassing in de antivirusregels gevolgen heeft voordat ze de av-update rondsturen.
Maar juist nadat ze een false-positive melding binnenkrijgen. Werkt niet elke AV-bouwer zo? Het lijkt mij ook gewenster om false-positives te hebben en dat op te lossen, dan om achteraf de echte troep te moeten verwijderen/blokkeren wanneer de schade al geleden is.
Onze IT voorziet ook alle servers van een AV scanner. Dus ook servers met een database. Als ik met ze hierover in discussie ga, dan is het 'beleid van IT, om just for the case' toch maar alles van een scanner te voorzien. De server in kwestie is voor development in gebruik, en is voorzien van terminal server (d.w.z. ook developers werken op dit systeem, met full internet toegang voor o.a. MSDN).

Ik heb allerlei exclusion rules in de AV scanner zitten, maar dan toch nog, scanned de AV scanner files uit de directories die ge-exclude worden (ik heb probleem met een block van wget.exe die in ons versiebeheer systeem staat). Het zou zomaar kunnen dat de AV scanner geen opties heeft om alles te configureren. De file in kwestie wordt via SMB binnengevist van de server op de client, maar de server lijkt de boel te blocken. Het zou kunnen zijn dat de scan gedaan wordt omdat 'network drives' gescanned worden (die vraag staat uit bij de AV boer).

Hoe dan ook: een AV product en een server met een database vereist denkwerk. Als IT een 'rule-roll-out' tool gebruikt, dan hebben ze het liefst (vanuit oogpunt van beheer) een 'one-rule-set-fits-all-users'. Zeker als het beheer van de rules complex is. Maar goed, m'n reactie gaat bijna out-of-the-scope van MS Essentials. Dat is ook geen corporate product.
Ik heb de melding wel gezien ik gebruik Bing als zoekmachine maar door een link kwam ik toevallig bij Google terecht, even hoopte ik stiekem dat Google was gehackt en dat iemand er kwaadaardige bestanden mee versprijde, maar nee, het was maar een foute definitie.

Ach ja, dat overkomt iedere AV-maker wel eens. Dat ongeval met Chrome kan je Microsoft, vind ik toch, niet kwalijk nemen: het is zowiezo al vreemd als een programma zich installeerd tussen je documenten in plaat van de Programs file en dan nog eens over naar links begint te zoeken zonder toestemming om te importeren.

Daarbij: als andere AVs foute definities versprijden heeft dat simpelweg vaak een volledig onbruikbare Windows tot gevolg. Wat er bij MSE gebeurd, is dan nog maar minimalistisch.
Net als andere virusscanners valt MSE ook wel eens Windows aan. Ik had laatst nog een vernielde TCP/IP-stack. Vergelijk het menselijk immuunsysteem dat soms ook lichaamseigen cellen aanvalt of ontstekingsreacties geeft.
Niks gezien, meestal loopt Security Essentials een dagje achter met je updates dus daar zal het misschien aan liggen.
Een zwak punt van MSE is dat de update van de virusdefinities (signaturefiles) via Windows Update wordt gedaan. Dit kan er voor zorgen dat de update te veel achter gaat lopen. Dit is aan te passen:

http://www.hccforums.nl/showthread.php?t=457
Was hem net hier ook al op verschillende PC's tegengekomen.
Mooi dat het al snel was opgelost.
Ik heb gelijk een paar virusscans er overheen gegooid maar die kwamen met niets :) gelukkig maar dat het niets blijkt te zijn. Google zelf gaf ook niet echt een goed antwoord wat het nu was.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True