Antivirussoftware Sophos deactiveert updateprogramma's

De antimalwaresoftware van Sophos ziet updateprogramma's van onder meer Apple en Java ten onrechte aan voor malware. Sophos heeft een update online gezet, maar die is lastig uit te voeren, omdat Sophos ook zijn eigen updatesoftware deactiveert.

De Sophos-software ziet vrijwel alle programma's met update-functionaliteit aan voor Shh/Updater-B, een aan updatefunctionaliteit gerelateerde malware. Daardoor zijn bij veel gebruikers gangbare updateprogramma's van onder meer Java, Google-software en Apple-software in quarantaine gezet of verwijderd. Gebruikers klagen daarover op Sophos' eigen forum.

Sophos adviseert op andere manieren te updaten dan via de ingebouwde updatefunctionaliteit, maar in sommige gevallen moet Sophos in zijn geheel opnieuw geïnstalleerd worden, waarschuwt de antivirusmaker. Dat komt doordat in sommige gevallen delen van de updater voor Sophos zelf zijn verwijderd, waardoor updates niet meer kunnen worden uitgevoerd.

De fout zit in de definities voor Sophos' Live Protection-systeem, waarmee computers beveiligd kunnen worden. Het is onduidelijk hoeveel klanten van het antivirusbedrijf zijn getroffen. Het bedrijf heeft via sociale media excuses aangeboden. "Het spijt ons echt vanwege al het ongemak, de hoofdpijn en het slaapgebrek door deze situatie."

Sophos false positives

IT-banen

Reacties (103)

K93 20 september 2012 08:27

Slechte zaak, ook al vind ik het wel humor dat ook hun eigen updater verwijderd is haha.

robinverl @K93 • 20 september 2012 08:35

Je zou toch op z'n minst een whitelist verwachten voor het eigen systeem..

Rob Coops

Beveiliging

@robinverl • 20 september 2012 08:52

Ja dat zou heel slim zijn alles wat een virus schrijver dan hoeft te doen is juist die code besmetten en de virus scanner ziet het niet meer als onveilig... Dat werkt gewoon niet. Het enige dat ze zouden kunnen doen is een unieke hash maken van alle versies van dit programma en die vervolgens op een whitelist plaatsen, maar dat levert ook problemen op want hoe reageer je als de updater wordt geupdate? Het is niet als of Google Adobe, en al die andere software schrijvers Sophos even bellen om de nieuwe hash door te geven. Dus het resultaat is simpel weg dat ook dan de nieuwe update tool als onveilig gezien wordt.

De enige echte manier is zoeken naar code die precies lijkt op het geen je al kent of die duidelijk gevaarlijk is omdat dit laatste een heel moeilijk pad is wil een virus scanner nog wel eens een false positive opleveren. Vandaar ook dat er een aantal sites zijn die de mogelijkheid bieden om met meerdere virus scanners een bestand te scannen om er achter te komen wat een hele groep virus scanners denkt dat het is.
Vaak zie je dan dat 1 of 2 een bestand als gevaarlijk aan merken waar de andere 10 geen problemen zien. Dit is simpel weg de enige manier waarop je iets meer zekerheid kunt hebben over de veiligheid van bepaalde bestanden war je eigen virus scanner aan twijfelt.

Het is wel grappig dat ook het eigen Sophos systeem als gevaarlijk wordt gezien maar aan de andere kant als gebruiker ben je ook wel erg dom als je de virus scanner bestanden gewoon maar laat verwijderen. De executie blokkeren is meer dan genoeg dan kun je altijd nog online kijken of andere het met het idee van jouw virus scanner eens zijn. Als dat niet zo is dan weet je al snel genoeg...

tc982 @Rob Coops • 20 september 2012 10:19

nige dat ze zouden kunnen doen is een unieke hash maken van alle versies van dit programma en die vervolgens op een whitelist plaatsen, maar dat levert ook problemen op want hoe reageer je als de updater wordt geupdate?

Nochtans werkt zo Tren Micro Smart Scan. Door een Hash van alle windows bestanden centraal te zetten, hoeven ze niet alles te scannen om te weten dat deze correct of niet correct zijn.

En er zou perfect een hash gemaakt kunnen worden van hun eigen update programma, dat ze altijd hun eigen updater vertrouwen.

3raser @Rob Coops • 20 september 2012 11:04

Een whitelist kan natuurlijk meer betekenen dan een bepaalde applicatie of directory uitsluiten van scannen. Je kan bijvoorbeeld een hash maken van je update programma om te controleren of deze besmet is, maar hem verder met rust laten.

Hoe dan ook zou een bepaalde manier van zelf-reparatie wel handig kunnen zijn voor het geval een virus de scanner om zeep helpt.

Antyrael @Rob Coops • 20 september 2012 11:16

Via zo'n bulk antivirus scan website kun je nog altijd false positives krijgen.
Wanneer 2 van de 12 scanners van mening is dat een bestand gevaarlijk is, is dit behoorlijk aannemelijk zelfs.
Bij twijfel test ik het zelf in een sandbox omgeving, zo weet ik in ieder geval wel 100% zeker dat mijn systeem niet besmet wordt.

BeosBeing @Rob Coops • 20 september 2012 14:22

Het enige dat ze zouden kunnen doen is een unieke hash maken van alle versies van dit programma en die vervolgens op een whitelist plaatsen, maar dat levert ook problemen op want hoe reageer je als de updater wordt geupdate?

Dan moet je eerst de oude updater vertellen, bv met een nieuwe definition-file dat de nieuwe updater safe is. Het lijkt me dat dit iets is dat alle anti-malware makers tegenkomen.

Het is niet als of Google Adobe, en al die andere software schrijvers Sophos even bellen om de nieuwe hash door te geven. Dus het resultaat is simpel weg dat ook dan de nieuwe update tool als onveilig gezien wordt.

Klopt, als ze dit al doen (zal dan wel mailen zijn, en uiteraard gesigneerd) dan doen ze dat hooguit naar de hun bekende grote AV-makers (symantec, mcaffee, kasperski) maar zullen er altijd makers ontbreken (clam, immunet) en voor de middenmoot (avast, avg, avira, comodo, eset, panda, bitdefender, f-secure, norma, g data, trend, pinda, ...) en de andere malwarescanners (javacool (spywareblaster), superantispyware, emisoft, malwarebyte, spyware teminator) is het maar de vraag of ze wel of of geen informatie krijgen).

Daar wil je als maker niet van afhankelijk zijn. Uiteraard kun je zelf die updaters draaien en analyseren maar je loopt dan altijd achter de feiten aan en zolang jij je gegevens niet hebt bijgewerkt kunnen je gebruikers hun java, flash player, reader enz niet updaten. Tevens kun je nooit alle updaters bijhouden want er zullen altijd nieuwe en kleine firma's zijn die voor hun het updaten van de apps bij hun clienten ook een updater willen gebruiken. Wereldwijd zijn er nogal wat belastingaangifte-programma's, boekhoudprogramma's enzovoorts en die willen bij een veiligheidspatch ook zo snel mogenlijk hun gebruikers bereiken..

De enige echte manier is zoeken naar code die precies lijkt op het geen je al kent of die duidelijk gevaarlijk is omdat dit laatste een heel moeilijk pad is wil een virus scanner nog wel eens een false positive opleveren.

False positives krijg je vooral bij heuristisch scannen. Alleen daarmee vindt je echter nieuwe malware. Met signatures, wat alle AV's gebruiken treed dit zelden op, echter dan loop je feitelijk ook weer altijd achter de feiten aan. Als AV-bedrijf moet je eerst het virus analyseren en aan de hand daarvan je signature files updaten . Op dit moment is feitelijk de enige methode om die updaters dan maar gewoon te laten draaien en hopen dat je na de eerste besmetting snel genoeg daarvan op de hoogte gesteld wordt en je daarna je nieuwe signatures hebt kunnen updaten op de systemen van je klanten voordat het virus bij hen komt.

Vandaar ook dat er een aantal sites zijn die de mogelijkheid bieden om met meerdere virus scanners een bestand te scannen om er achter te komen wat een hele groep virus scanners denkt dat het is.
Vaak zie je dan dat 1 of 2 een bestand als gevaarlijk aan merken waar de andere 10 geen problemen zien. Dit is simpel weg de enige manier waarop je iets meer zekerheid kunt hebben over de veiligheid van bepaalde bestanden war je eigen virus scanner aan twijfelt.

Klopt echter als je eigen scanner ze helemaal niet detecteerd raakt je systeem dus geïnfecteerd. Als je eigen scanner iets als gevaarlijk aanmerkt wordt het gedeactiveerd door het in een virus-vault te zetten of door het te wissen.

Het is wel grappig dat ook het eigen Sophos systeem als gevaarlijk wordt gezien maar aan de andere kant als gebruiker ben je ook wel erg dom als je de virus scanner bestanden gewoon maar laat verwijderen. De executie blokkeren is meer dan genoeg dan kun je altijd nog online kijken of andere het met het idee van jouw virus scanner eens zijn. Als dat niet zo is dan weet je al snel genoeg...

Helaas gaan heel veel scanners uit van de onkunde van de gemiddelde gebruiker en kun je een bestand nauwelijks of niet terugzetten. Zelf overkwam mij dat bij Avast 6 dat een dll van de Lenovo Powermanagement drivers als malware aanmerkte.

Gezien het niet eerder reageren van Avast op false-positive-reports betreffende Clamwin en Immunet Antivirus (welke laatste zelf aangeeft compatible te zijn met

Compatible Security Products
AVG
Avast!
Avira
Norton Anti-Virus, Internet Security, 360
McAfee
Microsoft Security Essentials
Trend Antivirus
K7

maar van Avast! slechts versies 4.6 en 5.0 als officially supported.
Zal ik dus ook Avast niet meer instaleren.

[Reactie gewijzigd door BeosBeing op 22 juli 2024 14:19]

Soldaatje @Rob Coops • 20 september 2012 08:56

Bij Comodo staat de program dir ook in een whitelist, het kan dus wel.
Als de malware geen admin rechten krijgt kan hij er niet bij (win7).

batjes @Soldaatje • 20 september 2012 09:06

maarja, hoeveel van de tweakers zet UAC compleet uit? best veel doen dat.
Als UAC uitstaat, werkt de program files bescherming ook niet meer

(en nog een handvol beveiligings maatregelen)

bigbadbull @batjes • 20 september 2012 10:50

Elke tweaker die op win 7 UAC uit zet verdient het in mijn ogen om uit de tweaker groep gezet te worden.

het uitzetten van UAC is nauwelijks ergens voor nodig.
Ok het levert een paar kleine ergernissen op, maar die zijn ook nodig.
bvb niet rechtstreeks kunnen unzippen in de program folders
bvb het niet simpel kunnen editeren van de host files.

daar zijn simpele work arounds voor en eens je die gewoon bent zijn ze ook heel logisch.
Dus laat gewoon UAC aan en pas je werk methode aan naar een veilige manier van werken.

terror538 @bigbadbull • 20 september 2012 12:40

als je voor normaal gebruik gewoon een simpele gebruikers account gebruikt waar je geen admin rechten hebt en voor bijzondere situaties inlogt als admin dan kan ik me heel goed voorstellen dat je UAC uit zet.

Net zoals dat je als je als root werkt in Unix echt niet veel meer waarschuwingen krijgt, je bent echt geen idioot als je dat soort waarschuwingen uitzet je bent pas een idioot als je per ongeluk alles recursief verwijderd en je het niet terug kan halen.

bogy @bigbadbull • 21 september 2012 01:12

Weet je wat; ik ben al jarenlang tweaker...

ik heb UAC uitstaan...
ik moet geen wachtwoord ingeven als windows opstart...
ik heb wel meerdere gebruikersaccounts op m'n pc; maar woon alleen momenteel en windows logt dus automatisch in op mijn hoofdaccount.
Als ik uitlog/afmeld moet je achteraf wél een wachtwoord ingeven; er is dus wel een wachtwoord, maar ik heb ingesteld het niet te vragen bij opstarten.

Het zit namelijk zo dat je bij het aanzetten van de pc al een wachtwoord moet geven.

ow, en voor je gaat roepen "dit kan je verwijderen door een jumper te ....."
neen, dat kan niet, want de bios zelf heeft geen wachtwoord; het is de harde schijf die gelocked is (vanuit het bios uiteraard); en wanneer je de schijf wilt 'activeren' moet je eerst een wachtwoord ingeven (USER) Uiteraard is dit een wachtwoord van 12 of meer alfanumerieke tekens (ik ga niet zeggen hoeveel exact uiteraard) om het veilig te houden.
Ook als je de HD in een andere pc steekt vraagt hij dit wachtwoord... Zelfs als je van plan bent om te formatteren... Het is géén encryptie uiteraard; het is gewoon de toegang tot de hd zelf...

Anoniem: 80466 @batjes • 20 september 2012 09:15

Valt wel mee denk ik. Ik schat dat van de tweakers 60%-70% nog UAC aan heeft staan en van de normale gebruikers wel 95%

Anoniem: 399 @Anoniem: 80466 • 20 september 2012 10:18

Valt wel mee denk ik. Ik schat dat van de tweakers 60%-70% nog UAC aan heeft staan en van de normale gebruikers wel 95%

based on information we made up arbitrarily, no warranty or guarantees

player-x @Anoniem: 399 • 20 september 2012 11:05

LOL

Mee eens en persoonlijk denk ik dat +99% van de gebruikers UAC gewoon aan laten staan, daar het lang niet zo irritant meer is als in RTM Vista, en de meeste weten niet eens hoe men UAC zelfs maar uit moet zetten.

En onder tweakers, denk ik dat het +98% is, daar er onder tweakers er een grotere groep is. die alles denkt beter te weten omdat ze "computer expert" zijn, en zo dom zijn om het uit te zetten omdat het waarschuwing/bevestiging scherm hun irriteert.

* player-x conclusions are also based on information he made up arbitrarily, no warranty or guarantees, for tweakers tho, this number could easily be confirmed by a poll.

postbus51 @player-x • 20 september 2012 16:38

en de meeste weten niet eens hoe men UAC zelfs maar uit moet zetten.

Met de hamer 3x kloppen , maar het weer aanzetten is dan wat problematisch

Anoniem: 412416 @Anoniem: 80466 • 20 september 2012 09:45

Ok thanks voor de cijfers, was even bang dat ik het CBS moest gaan bellen...

jellever @Soldaatje • 20 september 2012 09:06

Dit is niet zo handig aangezien veel malware zichzelf wel naar admin rechten kan promoveren en uac kan bypassen.

H!GHGuY @jellever • 20 september 2012 12:20

Heb je een bron voor die claim?

Petervanakelyen @H!GHGuY • 20 september 2012 14:54

Privelege escalation is een heel gangbare techniek hoor.

jellever @H!GHGuY • 27 september 2012 12:03

Yep

Kijk hier eens: http://www.pretentiousname.com/misc/win7_uac_whitelist2.html Een manier om UAC te omzeilen die nog steeds werkt (proof of concept is in 2009 gescreven)!

johnkeates @Alex_dragon • 20 september 2012 13:26

Ah ja, goed onderbouwd!

Triblade_8472 @robinverl • 20 september 2012 08:52

Je zou toch op z'n minst een whitelist verwachten voor het eigen systeem..

Zou zoiets niet te makkelijk te misbruiken zijn?

barchettanl @K93 • 20 september 2012 08:55

In principe wordt alles verdacht wat zichzelf probeert te updaten: naast Sophos zelf, Apple en Java, is dat ondermeer GoogleUpdate.exe, npGoogleUpdate3.dll, Nvidia's NvUpdt.dll en FlashPlayerUpdateServer.exe .

barchettanl 20 september 2012 08:41

Bij ons detecteerde Sophos de volgende bestanden ...

C:\Program Files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_update.exe
C:\Program Files\Sophos\AutoUpdate\SingleGUIPlugin.dll
C:\Program Files\Sophos\AutoUpdate\inetconn.dll

http://i.imgur.com/XZ05T.png

Ik heb maar een mailtje aan iedereen in het bedrijf rondgestuurd dus vooral niet in te gaan op het verzoek van Sophos om iets te wissen ...

[Reactie gewijzigd door barchettanl op 22 juli 2024 14:19]

Amito @barchettanl • 20 september 2012 08:47

Kunnen de gebruikers dat zelf doen dan bij jullie? Wij hebben het sinds kort ook draaien, maar de gebruikers kunnen de virussen niet zelf verwijderen, dat moet via de "Enterprise Console" gebeuren, ook al hebben ze admin rechten.

[Reactie gewijzigd door Amito op 22 juli 2024 14:19]

barchettanl @Amito • 20 september 2012 08:52

Je zou gelijk kunnen hebben. In elk geval heeft het mailtje de rust doen terug keren binnen onze muren.

Vanmorgen vroeg mijn vader nog hoe het zit met Internet Explorer. Dit soort grappen ("IE is onveilig, maar let maar niet op je virusscanner hoor") zijn natuurlijk niet echt bevoorderlijk voor het vertrouwen in computers ...

batjes @barchettanl • 20 september 2012 09:11

het was voorpagina nieuws op de Spits

want IE is zwaar onveilig, wat was er met Chrome en Safari aan de hand de afgelopen dagen dan?
En uit Google's eigen onderzoek laten blijken dat IE nog geen 30% van de problemen heeft gehad sinds IE9 als Chrome zelf.
En FF, Opera en Safari doen het ook allemaal slechter dan IE betreffende de security.

Fawn @barchettanl • 20 september 2012 10:36

Klaagt hij na de verwijdering eigenlijk ook over de missende bestanden?

Het lijkt me bijzonder ironisch wanneer gebruikers de missende updater bestanden vervolgens op dubieuze 'missing file'/''missing dll' websites terugzoeken en de updater vervangen door een geïnfecteerd exemplaar

radium6969 20 september 2012 09:23

Ben benieuwd naar de oplossing want ik word er een beetje gek van.
Heb de instructies gevolgd op:
http://www.sophos.com/en-...knowledgebase/118311.aspx

Maar dat lost niks op. Ga nu een herinstalatie doen van de clients... Dat gaat wat tijd kosten.
Overigens zou ik van de enterprise control center afblijven en puur alleen de clients herinstaleren. Het control center kan nu ook niet meer update, wat knap vervelend is.

ymmud @radium6969 • 20 september 2012 09:25

Het artikel op http://www.sophos.com/en-...knowledgebase/118311.aspx is zojuist bijgewerkt. Misschien dat je er nu wat meer aan hebt

unaco @radium6969 • 20 september 2012 10:18

Via management console endpoint licenties intrekken en opnieuw pushen kost nauwelijks tijd.

@ Amito -> doorgaans zou een gebruiker zelf bestanden moeten kunnen cleanen of clearen. Ligt wel aan de gebruikte policies, tevens, Sophos zet standaard "scan for Adaware and PUAs uit bij on-access scanning wat in dit geval een geluk kan zijn voor een aantal bedrijven.

Ramon 20 september 2012 08:29

"ten onrechte" .... Kan je over discussieren..... Ik vind de Java updater rete irritant. In fact, het is de reden dat ik geen Java op mijn PC heb staan

Fabbie @Ramon • 20 september 2012 08:39

eeuhm... msconfig -> tabje opstarten en vinkje bij JAVA update weghalen

Soldaatje @Fabbie • 20 september 2012 08:43

Niet slim: Only 9 of 22 virus scanners block Java exploit
Beter zou zijn als het updaten helemaal onzichtbaar gebeurd, geen ergernis bij gebruikers.

[Reactie gewijzigd door Soldaatje op 22 juli 2024 14:19]

BlaDeKke @Soldaatje • 20 september 2012 10:40

Jah, inderdaad. Maar dat is echt not done in een zakelijke omgeving.

latka @BlaDeKke • 20 september 2012 10:55

Hmm, ik zit hier in een zakelijke omgeving maar de verstoringen die de beheerders veroorzaken zijn veel ernstiger en kosten meer dan die paar vendor updates.

BeosBeing @Soldaatje • 20 september 2012 14:35

Ook niet. Beter zou het zijn dat er één of twee vertrouwde updaters zijn (bijvoorbeeld Windows Update) die ook de andere applicaties updaten. Java, Flash en andere van het soort notoire beveiligingsgaten bevattend wordt dan beperkt uitgevoerd en mogen niet zelf updaten. Deze zijn van voor hun update afhankelijk van die twee vertrouwde en dubbel gecontroleerde updaters (bv van Windows Update of een AV-pakket). - een beetje zoals in Linux dus met diens repositories.

[Reactie gewijzigd door BeosBeing op 22 juli 2024 14:19]

Amito @Ramon • 20 september 2012 08:39

Helemaal mee eens. Je hebt soms dagelijks een Java update, heel irritant. Maar Flash is ook niet minder.
Maar wat doe je eraan, als je het niet installeert dan kan je veel sites/programma's niet gebruiken. Doe je het wel dan vergroot je de kans dat je om getroffen te worden door virussen. Het is hier denk ik wel algemeen bekend hoe vaak Java, flash, activex, etc misbruikt worden om virussen in te planten op je pc.

Robtimus @Ramon • 20 september 2012 08:42

Hoezo kun je daarover discussieren? De Java updater vraagt allereerst of je wil upgraden. Daarnaast kun je hem gewoon uitzetten (al was dat vroeger duidelijker). Dat jij dat niet hebt gedaan maakt het nog geen virus.

Kama @Ramon • 20 september 2012 08:43

Dat je het rete irritant vindt maakt het nog geen malware natuurlijk.

NESFreak @Kama • 20 september 2012 11:19

geen malware, wel adware. Iets wat ook verboden zou moeten worden.

--
Ik heb tussen de java updates inmiddels al (Standaard aangevinkt) McAfee Security Scan Plus, de google toolbar en tegenwoordig de ask toolbar voorbij zien komen. Wel degelijk adware dus. Niet meer dan terecht dat een virusscanner dat blokkeert

http://www.java.com/nl/download/faq/ask_toolbar.xml

[Reactie gewijzigd door NESFreak op 22 juli 2024 14:19]

Robtimus @NESFreak • 20 september 2012 14:19

Absoluut geen adware. Ze maken toch geen reclame? Het is gewoon een update van het programma zelf. Als je dat als adware beschouwt dan is Windows Update ook adware.

otandreto 20 september 2012 08:37

hoe zit dat eigenlijk met bedrijven die klant zijn bij bedrijven als dit. Je hoort met enige regelmaat dat een anti-virus/malware of enige andere vorm van beveiligende software, een dergelijk probleem als dit veroorzaakt. Voor een particulier kan de schade beperkt blijven, daar heb je het vaak over 1 of 2 computers. maar voor een bedrijf zijn dit misschien wel 10 to 100 keer zoveel. Dat kan een bedrijf behoorlijk op kosten jagen, al dan niet voor de extra uren die de ict afdeling moet draaien, dan wel de klanten van dat bedrijf (dus klant van de klant van sophos) weer die problemen hebben daardoor. Kun je dan bijvoorbeeld een bedrijf als sophos verantwoordelijk houden voor de kosten die je maakt?
Succes aan alle mensen/ict'ers die dit mogen oplossen.

locke960 @otandreto • 20 september 2012 09:15

Die bedrijven draaien zelf voor de kosten op. Gevolgschade van problemen wordt standaard in de overeenkomsten uitgesloten.
Daarbij wordt er in de documentatie ook nadrukkelijk op gewezen dat je elke update eerst uitgebreid moet testen voor je hem uitrolt. Dat dat meestal niet praktisch is weet iedereen, die tekst staat er dan ook meer om zich juridisch in te kunnen dekken dan om de klant te helpen.

Fynx 20 september 2012 10:06

Wij hebben problemen met het verwijderen van de auto update van Sophos.
Alle andere applicaties van sophos kunnen wel normaal verwijderd worden maar de auto updater geeft foutmeldingen. Als je hierna Sophos opnieuw probeert te installeren dan krijg je opnieuw foutmeldingen van de auto updater ook als je alle services handmatig gestopt hebt.

Heeft iemand anders ook dezelfde problemen gehad?
En zo ja wat is bij jullie op de oplossing geweest?

unaco @Fynx • 20 september 2012 10:30

Auto update geeft vermoedelijk problemen omdat de exe file nog in quarantaine staat? Die zul je eerst moeten clearen voordat je hem kan verwijderen.

Waah 20 september 2012 08:36

vind de meeste auto updaters inderdaad virus-achtig. draait altijd op de achtergrond en neemt dus recources. ik update liever wanneer ik het daadwerkelijk opstart/gebruik.

Robtimus @Waah • 20 september 2012 08:45

Op de achtergrond draaien en resources innemen maakt iets geen virus. Dat maakt het een service. En de meeste auto updaters kun je gewoon uitzetten.

jordeeeh @Waah • 20 september 2012 08:41

En als je op een pagina terecht komt die java-exploits probeert uit te voeren? Denk je dat die eerst aanbieden om een update te draaien? Dan ben je al te laat.
Dat is ook de reden dat er automatische updates aangeboden worden.

Ook zie je als het op die manier gebeurd dat gebruikers 'even snel' het programma willen gebruiker waardoor de update alsnog niet geïnstalleerd wordt.

Al met al ben ik het eens dat Java behoorlijk vervelend kan zijn door met iedere update die Ask-toolbar mee te willen installeren

thof

@batjes • 20 september 2012 09:12

Als optie inderdaad, de gebruiker is niet verplicht de bingbar/mcafee/chrome/etc mee te omstalleren. Dat veel gebruikers blindelings op 'next' of ' accept' klikken en niet lezen is een ander probleem

FreshMaker @thof • 20 september 2012 09:18

Welkom bij ninite.com

alles in één installer, ZONDER de bijgeleverde addons/toolbars

Hiub @FreshMaker • 20 september 2012 10:24

Eigenlijk toch wel een armoe dat je voor zo'n basisfunctionaliteit software van derden moet aanschaffen. Je zou verwachten dat zoiets anno 2012 wel standaard in een besturingssysteem zit.

Blitzdoctor @thof • 20 september 2012 10:23

Het hoort gewoon niet automatisch aangevinkt te zijn. Dit is gewoon misbruik proberen te maken van onoplettendheid.

anboni 20 september 2012 11:09

Lang leve de virusscanners, altijd ellende met die dingen (hoewel dit de eerste keer is dat ik met Sophos echte problemen heb in de drie jaar dat we het intussen gebruiken).

Ik heb het weten op te lossen door de Sophos autoupdate directory (C:\Program Files\Sophos\Autoupdate) te excluden uit de on access scan. Daarna zag ik in de enterprice console al heel snel de meeste online machines hun updates binnenhalen. Ziet ernaar uit dat ik er een paar met de hand langs zal moeten, maar dit is te overzien.

unaco @anboni • 20 september 2012 14:38

Dat werkt inderdaad en opzich een slimme oplossing om herhaling te voorkomen.
Persoonlijk heb ik de Autoupdate.exe vanmorgen al toegevoegd aan de allow list maar komt op hetzelfde neer.

Tevens, erg snelle reactie van ze;

SophosLabs released a False Positive for Shh/Updater-B at 18:48:35 (UTC) on Wednesday, 19 September. As a result, some customers are receiving incorrect notifications on Windows systems that they have a malware infection. This is a False Positive, not a malware outbreak.

An update to address this issue was released and published at 21:32 (UTC) on Wednesday, 19 September. This resolved the underlying cause for this False Positive however customers may still be experiencing issues.

Bron: Sophos Partner Mail

anboni @unaco • 20 september 2012 15:08

Dat werkt inderdaad en opzich een slimme oplossing om herhaling te voorkomen.

Ik ben niet van plan om deze directory standaard als exclusion te laten staan. Zogauw ik de indruk heb dat het merendeel van de PC's gefixt is, gaat 'ie er weer uit. Geen zin om over 'n paar maanden ineens te merken dat de updater van Sophos echt besmet is geraakt en m'n netwerk echt loopt te verzieken

Ninaomi 20 september 2012 09:27

Inderdaad
toen ik me vanmorgen inlogde kreeg ik al een melding
precies het zelfde als screenshot hier boven.

gelukkig hebben wij geen admin rechten op onze eigen pc's waar door wij niks kunnen verwijderen uit quarantaine .

Sevyx 20 september 2012 10:20

Ook bij ons blokkeerde zijn eigen update service.

Oplossing die wij gebruikt hebben:
Sophos op alle werkstations deactiveren
Sophos update binnen halen
Sophos update deploye
Sophos opnieuw uitrollen naar de werkplek

Opgelost.

300 Werkplekken
35 Servers

[Reactie gewijzigd door Sevyx op 22 juli 2024 14:19]

Op dit item kan niet meer gereageerd worden.

Antivirussoftware Sophos deactiveert updateprogramma's

Lees meer

IT-banen

Reacties (103)

Sorteer op:

Weergave: