Microsofts antivirus ziet Google kortstondig als virus

Anti-viruspakketten van Microsoft bestempelden verschillende Google-domeinen tijdelijk als een virus in Internet Explorer. De av-programma's blokkeerden gebruikers de toegang, maar Microsoft bracht snel nadien een fix uit.

Microsoft bracht voor zijn anti-viruspakketten, Security Essentials en Microsoft Forefront, een foute virusdefinitie uit. De websites van Google werden, na de laatste update 1.119.1972.0, door de programma's onterecht verdacht het virus 'Exploit:JS/Blacole.BW' te bevatten. Microsoft bracht snel nadien een nieuwe virusdefinitie uit die het false positive-probleem oploste. Andere browsers dan IE of andere viruspakketten gaven geen false positives.

Enkele maanden geleden nog werd Google Chrome verwijderd van computers omdat Security Essentials het foutief bestempelde als het 'PWS:Win32/Zbot'-virus.

Microsoft zegt dat Google een virus heeft

Door Adrian Buyssens

Feedback • 15-02-2012 15:52
52 • submitter: 3dfx

15-02-2012 • 15:52

52

Submitter: 3dfx

Lees meer

Sophos-update zorgde voor inlogproblemen Windows 7-pc's
Sophos-update zorgde voor inlogproblemen Windows 7-pc's Nieuws van 5 september 2016
ESET brengt update uit voor false-positive-meldingen
ESET brengt update uit voor false-positive-meldingen Nieuws van 29 februari 2016
Foutieve update Malwarebytes maakt duizenden pc's onbruikbaar
Foutieve update Malwarebytes maakt duizenden pc's onbruikbaar Nieuws van 18 april 2013
Microsoft brengt versie 4.0 van Security Essentials uit
Microsoft brengt versie 4.0 van Security Essentials uit Nieuws van 25 april 2012
Microsoft Security Essentials scoort slecht in malwaredetectietest
Microsoft Security Essentials scoort slecht in malwaredetectietest Nieuws van 17 april 2012
Google werkt aan wachtwoordgenerator voor Chrome
Google werkt aan wachtwoordgenerator voor Chrome Nieuws van 20 februari 2012
Microsoft Security Essentials gaat malware automatisch verwijderen
Microsoft Security Essentials gaat malware automatisch verwijderen Nieuws van 20 november 2011
Antimalwareprogramma Microsoft verwijderde Chrome
Antimalwareprogramma Microsoft verwijderde Chrome Nieuws van 1 oktober 2011
Microsoft: Windows 8 krijgt krachtiger Windows Defender
Microsoft: Windows 8 krijgt krachtiger Windows Defender Nieuws van 18 september 2011
Nieuwe versie Security Essentials is te downloaden
Nieuwe versie Security Essentials is te downloaden Nieuws van 18 december 2010
Release candidate van Microsoft Forefront vrijgegeven
Release candidate van Microsoft Forefront vrijgegeven Nieuws van 8 november 2010
Microsoft introduceert gratis antimalwarepakket
Microsoft introduceert gratis antimalwarepakket Nieuws van 29 september 2009
Meer producten en artikelen
Besturingssystemen Microsoft Windows Antivirus Malware

Reacties (52)

-Moderatie-faq
52
43
25
1
0
5
Wijzig sortering
kdekker 15 februari 2012 16:46
Ik heb door false-positives ooit (jaren geleden) een corrupte database gehad (met bijbehorende quarantaine waaruit de database file niet terug te vissen was, en dus een halve dag downtime). De balans tussen de veiligheid die een virusscanner moet geven (een virusscanner loopt altijd achter de feiten aan, is een reactief systeem op virussen die al bekend zijn) en werkbaarheid is een lastige.

Waar een IT afdeling zoveel mogeljk dicht zet (en dankzij de virusscanner je PC ook nog lekker wat Watt verstookt) bijt dat soms behoorlijk met bijv. databases en development werk. Ik zou weleens willen weten of er een onderzoek gedaan is wat de baten/lasten van een virusscanner zijn. Het zou me niets verbazen dat door false-positives ook behoorlijk wat schade is ontstaan. Alleen zullen bedrijven dat niet direct aan de grote klok hangen.

Een goed design van het OS helpt al een eind. Niet meer software erop zetten dan nodig ook al. En dan nog een stel beheerders & gebruikers dat nadenkt. Dat wordt de (bijna) ideale wereld :). In de praktijk weet een beheerder niet (altijd of volledig) waarvoor een systeem allemaal voor gebruikt wordt (en dus krijg je een grootste gemene deler met AV rules) en een gebruiker die niet (altijd) door heeft wat de consequenties zijn van zijn/haar gedrag. Sowieso is file-access scannen op een mega-grote-database-met-veel-user-access niet echt handig.

Vermoedelijk calculeert een AV bouwer de false positives (op zijn heuristic scans) gewoon in. Zijn er geen grote claims, dan komen ze daar prima mee weg. Ook hier weer is het kiezen voor een (lastige) balans.
The Zep Man
@kdekker15 februari 2012 16:57
Ik heb door false-positives ooit (jaren geleden) een corrupte database gehad (met bijbehorende quarantaine waaruit de database file niet terug te vissen was, en dus een halve dag downtime). De balans tussen de veiligheid die een virusscanner moet geven (een virusscanner loopt altijd achter de feiten aan, is een reactief systeem op virussen die al bekend zijn) en werkbaarheid is een lastige.
Dit ligt er natuurlijk aan hoe een virusscanner is ingesteld. Op een server zou ik bijvoorbeeld nooit automatisch bestanden weggooien/verplaatsen aanzetten, omdat de kans dat nieuwe virussen in bestanden zich voordoen alleen maar groot is bij directe interactie door een gebruiker (waardoor de beheerder meteen gepast kan reageren op de gegeven waarschuwing).
Waar een IT afdeling zoveel mogeljk dicht zet (en dankzij de virusscanner je PC ook nog lekker wat Watt verstookt) bijt dat soms behoorlijk met bijv. databases en development werk. Ik zou weleens willen weten of er een onderzoek gedaan is wat de baten/lasten van een virusscanner zijn. Het zou me niets verbazen dat door false-positives ook behoorlijk wat schade is ontstaan. Alleen zullen bedrijven dat niet direct aan de grote klok hangen.
Het energieverbruik van virusscanners op werkstations/laptops valt wel mee. Als het een PC te veel vertraagd, komt dat eerder door de vertraging die een harde schijf brengt. Neem een SSD en de vertraging die een virusscanner in de praktijk brengt zal nihil zijn.
Een goed design van het OS helpt al een eind. Niet meer software erop zetten dan nodig ook al. En dan nog een stel beheerders & gebruikers dat nadenkt. Dat wordt de (bijna) ideale wereld :). In de praktijk weet een beheerder niet (altijd of volledig) waarvoor een systeem allemaal voor gebruikt wordt (en dus krijg je een grootste gemene deler met AV rules) en een gebruiker die niet (altijd) door heeft wat de consequenties zijn van zijn/haar gedrag. Sowieso is file-access scannen op een mega-grote-database-met-veel-user-access niet echt handig.
Een 'mega-grote-database-met-veel-user-access' hoort sowieso niet als bestand beschikbaar te zijn. Die zet je op een server en maak je toegankelijk via een netwerk (niet als bestand). Als het teveel schijftoegang vreet aan de kant van de server, kan altijd nog gekozen worden om de folder waarin de databasebestanden staan uit te zonderen in de virusscanner.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 12:34]

SaiKoTiK 15 februari 2012 16:19
Vreemd dat dit voorval door velen met de mantel der liefde overdekt wordt, want het was snel opgelost...

Hoeveel andere websites worden er misschien nog onterecht geblokkeerd, maar omdat het niet zo veel gebruikte/betrouwde websites zijn zoals google valt het niet direct op dat er een fout gemaakt wordt door de antivirus...

Waarom blokkeert een antivirus überhaupt een website?
Dat schadelijke scripts en dergelijke worden tegengehouden... maar de hele website ontoegankelijk maken?

Hier klopt toch iets niet?
Anoniem: 274613 @SaiKoTiK15 februari 2012 16:39
perfect toch?

een website waar een schadelijk script op staat mogen ze van mij direct offline halen.
helaas zijn de wetten daar ontoereikend voor.
Gepetto @SaiKoTiK15 februari 2012 16:40
Waarom blokkeert een antivirus überhaupt een website?
Omdat er inmiddels miljoenen websites zijn die via een script (java, direct x etc.) een trojan horse proberen te installeren misschien?
SaiKoTiK @Gepetto15 februari 2012 17:36
Lees anders even ook de volgende zin misschien?
Gepetto @SaiKoTiK22 februari 2012 14:16
Die heb ik gelezen uiteraard, maar maakt toch geen verschil? Een website die ervoor bedoeld is dergelijke software op je pc te installeren, mag wat mij betreft volledig geblokt worden hoor.
To_Tall @SaiKoTiK15 februari 2012 17:15
Nou ja simple.. als 1 foutief script op staat dat aangemerkt wordt als virus. maar op pagina 2 staat ook een fout script maar is nog niet bekend als virus. Bescherm je dus de gebruiker tegen de website... Andere manier is dan wel om dan http://website.com/pagina2 in te tikken. Dan zou je wel verder kunnen komen.
SunnieNL
@SaiKoTiK15 februari 2012 20:12
Google heeft wel vaker schadelijke code gehad in hun advertenties. Dus zo vreemd is het niet. Virusscanners blokkeren wel vaker websites met schadelijke code.
To_Tall 15 februari 2012 16:04
Gisteren avond, Gaf mijn TMG server ook deze error.. draaidje geopend op GOT hierover..
Google ?? of Virus..

Probleem zat dus niet alleen in Security Essentials maar ook in

TMG Server 2010 Mogelijk ook andere ISA producten
Microsoft Forefront EndPoint protection.

Beetje jammer van MS dat ze hier niet beter op letten. Google is toch 1 van de grotere websites die worden bezocht.
Gepetto @To_Tall15 februari 2012 16:35
Ik vraag me dan toch af wat voor duistere scriptjes er op sommige websites worden gebruikt dat het aangemerkt wordt als virus.

Zal ongetwijfeld iets heuristisch geweest zijn.
SirBlade 15 februari 2012 16:11
Programma zoals Chrome die zich buiten de normale locaties proberen te installeren zouden door antimallware apps geblockt moeten worden.
Anoniem: 126717 @SirBlade15 februari 2012 19:49
Of in ieder geval door de gebruikers / beheerders van de computers.
Feitelijk gezien is het een virus/malware, het zet zichzelf in een data gebied, en het wordt als sluipware bij veel programmas aangeboden, net als toolbars etc.
dezejongeman 15 februari 2012 16:02
gisteravond waren er al topics op GOT over dit onderwerp maar toen was nog niet duidelijk hoe de vork in de steel zit/zat.
waarschijnlijk hebben nog niet heel veel mensen problemen ervaren omdat ze de update nog niet binnen hadden gehaald.
Anoniem: 201824 15 februari 2012 16:30
Grappig, "inbreuk op de privacy" door Google pagina's zou toch al eerder dan vandaag als alarmbel af moeten zijn gegaan... O-)

Maar serieus:
Zodra er dan een legitiem product of site gemeld wordt door een SE gebruiker, dan pas zal MS zien dat ze een uitzondering in de antivirusregels (heuristics?) moeten inbouwen. Ik geloof niet dat ze alle software en sites gaan testen of een aanpassing in de antivirusregels gevolgen heeft voordat ze de av-update rondsturen.
Maar juist nadat ze een false-positive melding binnenkrijgen. Werkt niet elke AV-bouwer zo? Het lijkt mij ook gewenster om false-positives te hebben en dat op te lossen, dan om achteraf de echte troep te moeten verwijderen/blokkeren wanneer de schade al geleden is.
kdekker 15 februari 2012 17:06
Onze IT voorziet ook alle servers van een AV scanner. Dus ook servers met een database. Als ik met ze hierover in discussie ga, dan is het 'beleid van IT, om just for the case' toch maar alles van een scanner te voorzien. De server in kwestie is voor development in gebruik, en is voorzien van terminal server (d.w.z. ook developers werken op dit systeem, met full internet toegang voor o.a. MSDN).

Ik heb allerlei exclusion rules in de AV scanner zitten, maar dan toch nog, scanned de AV scanner files uit de directories die ge-exclude worden (ik heb probleem met een block van wget.exe die in ons versiebeheer systeem staat). Het zou zomaar kunnen dat de AV scanner geen opties heeft om alles te configureren. De file in kwestie wordt via SMB binnengevist van de server op de client, maar de server lijkt de boel te blocken. Het zou kunnen zijn dat de scan gedaan wordt omdat 'network drives' gescanned worden (die vraag staat uit bij de AV boer).

Hoe dan ook: een AV product en een server met een database vereist denkwerk. Als IT een 'rule-roll-out' tool gebruikt, dan hebben ze het liefst (vanuit oogpunt van beheer) een 'one-rule-set-fits-all-users'. Zeker als het beheer van de rules complex is. Maar goed, m'n reactie gaat bijna out-of-the-scope van MS Essentials. Dat is ook geen corporate product.
Loller1
15 februari 2012 19:05
Ik heb de melding wel gezien ik gebruik Bing als zoekmachine maar door een link kwam ik toevallig bij Google terecht, even hoopte ik stiekem dat Google was gehackt en dat iemand er kwaadaardige bestanden mee versprijde, maar nee, het was maar een foute definitie.

Ach ja, dat overkomt iedere AV-maker wel eens. Dat ongeval met Chrome kan je Microsoft, vind ik toch, niet kwalijk nemen: het is zowiezo al vreemd als een programma zich installeerd tussen je documenten in plaat van de Programs file en dan nog eens over naar links begint te zoeken zonder toestemming om te importeren.

Daarbij: als andere AVs foute definities versprijden heeft dat simpelweg vaak een volledig onbruikbare Windows tot gevolg. Wat er bij MSE gebeurd, is dan nog maar minimalistisch.
mae-t.net
@Loller116 februari 2012 04:28
Net als andere virusscanners valt MSE ook wel eens Windows aan. Ik had laatst nog een vernielde TCP/IP-stack. Vergelijk het menselijk immuunsysteem dat soms ook lichaamseigen cellen aanvalt of ontstekingsreacties geeft.
Crim 15 februari 2012 15:55
Niks gezien, meestal loopt Security Essentials een dagje achter met je updates dus daar zal het misschien aan liggen.
Pineka @Crim15 februari 2012 21:35
Een zwak punt van MSE is dat de update van de virusdefinities (signaturefiles) via Windows Update wordt gedaan. Dit kan er voor zorgen dat de update te veel achter gaat lopen. Dit is aan te passen:

http://www.hccforums.nl/showthread.php?t=457
henk717 15 februari 2012 15:55
Was hem net hier ook al op verschillende PC's tegengekomen.
Mooi dat het al snel was opgelost.
thewizard2006 @henk71716 februari 2012 08:43
Ik heb gelijk een paar virusscans er overheen gegooid maar die kwamen met niets :) gelukkig maar dat het niets blijkt te zijn. Google zelf gaf ook niet echt een goed antwoord wat het nu was.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq