Foutieve update Malwarebytes maakt duizenden pc's onbruikbaar

Een foutieve update voor de malwarescanner van Malwarebytes heeft ervoor gezorgd dat wereldwijd duizenden pc's onbruikbaar zijn geraakt. De update merkte systeembestanden aan als malware, waardoor de pc's veelal niet meer kunnen opstarten.

De update voor Windows merkte een legitiem systeembestand aan als de malware Trojan.Downloader.ED en heeft acht minuten online gestaan. In die tijd is deze door duizenden pc's gedownload en toegepast. De update is daarna offline gehaald en Malwarebytes heeft een fix uitgebracht die het systeembestand terugzet, waarna de pc weer normaal kan opstarten.

De ceo van Malwarebytes, Marcin Kleczynski, heeft op het eigen blog excuses aangeboden voor de blunder. Het is niet uniek dat een update van beveiligingssoftware pc's doet vastlopen. Zo verwijderde McAfee enkele jaren geleden ook een systeembestand, waardoor pc's beschadigd raakten. False positives zijn vrij gangbaar bij beveiligingssoftware, al zijn de gevolgen vaak niet zo verstrekkend als bij deze foutieve update van Malwarebytes.

Reacties (75)

Chrizzly 18 april 2013 10:37

Ik bekeek mijn logs net eens en zag dat er op 15-2 veel uninst.exe bestanden als trojan gezien werden. Dit zijn blijkbaar false positives en de oorzaak is verholpen in een update, maar de bestanden stonden nog wel in quarantaine. Zie ook dit forum topic.

kdekker 18 april 2013 11:11

Ik heb de laatste jaren diverse keren gehad dat de virusscanner (McAfee in dit geval) essentiele bestanden in quarantaine plaatste. Je moet echt goed tijd steken in exclusions.

En dan nog: in heel wat gevallen pakt de virusscanner tegen de 30-50% CPU load, domweg omdat iedere file access gecontroleerd wordt (eerst of ze op de exclusive lijst staat, zo niet dan scannen).

Viruscanners scannen ook network verkeer. Daarvoor zijn (in McAfee) geen uitzonderingen in te stellen, met als gevold dat sommige patronen (bijv wget.exe) als virus gemarkeerd worden, en mijn netwerkverkeer corrupt maken (in dit geval een replicatie op een database waar wget.exe in opgeslagen was).

Het problem is dat een virusscanner moet passen voor elk publiek. De noob en de expert. Een virusscanner zal dan vaker te defensief optreden dan andersom. Maar daarom ook tools die hun nuttig gebruik kennen, geblokkeerd worden (ftp/wget/psexec etc).

Een virusscanner loopt per definitie achter op de virusschrijver. Vandaar het gebruik van heuristic patterns. Hoe knap men dat ook aanpakt: heuristic scannen is toch een soort van gokken.

De viruspakketten worden ook steeds zwaarder. Mijn oude laptop werkt prima, behalve als de virusscanner bezig is met updates. Het is toch een beetje raar dat de virusscanner de redden wordt dat je PC moet vervangen.

Met een OS met een goed security model, en gebruikers die niet onnodig met teveel rechten draaien, kom je al een heel eind. Als dan je browser ook nog eens met minimale rechten zou (kunnen) draaien en de gebruiker nog eens nadenkt, dan zou je bijna zonder virusscanner kunnen. Maar wellicht vragen we dan te veel van de gebruiker (jong of oud, men klikt overall op).

Dylan93 @kdekker • 18 april 2013 11:17

@kdekker

Een virusscanner gebruikt 30-50% CPU ? Ik denk dat het voor jou tijd word om over te stappen, geen 1 welbekende virusscanner die aan de top lijst staat doet dit tegenwoordig, zie ook uitgebreide performance reviews hier.

Daarnaast komt Tweakers ook weer laat met deze melding, dit probleem deed zich voor op 15 april en is zonder al te veel werk op te lossen, je kunt namelijk nog gewoon in Safe Mode booten en de stappen volgen die de ontwikkelaars van Malwarebytes zelf aangeven op het forum.

kdekker @Dylan93 • 18 april 2013 13:21

Ik heb op werk een E8400 met 8Gb mem. Download jij maar eens een file van 1GB, en kijk waar je virusscanner op piekt.

Thuis heb ik een ouder gebakje, nl 1 v.d. eerste Centrino's. Dat de processor net toe kan, en de 2.5" harddisk net 35Mb/s halt speelt zeker een rol. Op deze PC draaide NOD32, maar nu Avira.

Mijn punt is dat een virusscanner zich hooked tussen alle file en netwerk operaties, ook voor files waar dat nooit nodig voor zou moeten zijn (.txt oid). Het scannen van grote bloken data kost extra tijd. De efficientie verschilt per virusscanner (ik ken Avira, NOD32, AVG, MS Security Essentials, McAfee), maar het is altijd de volledige byte stream lezen, en daar logica op los laten.

Bij bedrijven spelt dan nog eens mee dat de efficientie van een virusscanner minder belangrijk is dan de tools waarmee het beheer doet (bijv. ePO agent van McAfee).

Bij zwaar I/O intensief werk (compileren, databases) en de verplichting dat iedere client & server een virusscanner nodig hebben, worden er heeeeel veel watts verstookt aan scannen.

Die hele performance review is een relatieve vergelijking van virusscanners ten op zichte van elkaar. Ik kon zo 1-2-3 geen vergelijking zien 'zonder' virusscanner. De vergelijking zegt derhalve niets over mijn aangedragen punten. En de betekenis snel/langzaam zijn ook relatief, vandaar dat je aan het hele overzicht niet meer kan afleiden dan: als je een virusscanner gebruikt dan is xyz de minst slechte keuze...

[Reactie gewijzigd door kdekker op 27 juli 2024 08:27]

Carlos0_0

Malwarebytes

@Dylan93 • 18 april 2013 12:10

Verder zou norton of mcafee wel zoveel kunnen gebruiken, waarom om dit gewoon te zware pakketten zijn.

Proxy @Amanoo • 19 april 2013 07:00

De Norton-scanners zijn de laatste jaren vaak wel wat sneller geworden hoor.

Plopeye @Proxy • 19 april 2013 23:13

Toch hebben ze er jaren over gedaan om "wat sneller" te worden... dat vind ik nou niet echt snel om eerlijk te zijn.

Amanoo @kdekker • 18 april 2013 15:36

"Met een OS met een goed security model, en gebruikers die niet onnodig met teveel rechten draaien, kom je al een heel eind. Als dan je browser ook nog eens met minimale rechten zou (kunnen) draaien en de gebruiker nog eens nadenkt, dan zou je bijna zonder virusscanner kunnen. Maar wellicht vragen we dan te veel van de gebruiker (jong of oud, men klikt overall op)."

Jij gebruikt vast veel Linux. Naar ik weet voldoet dat behoorlijk aan deze omschrijving. Daar zit een vrij degelijk rechtensysteem in.

[Reactie gewijzigd door Amanoo op 27 juli 2024 08:27]

Alex3 @Amanoo • 18 april 2013 19:41

Dat gaat in Windows net zo goed. Ik internet nooit als beheerder. Dan houd je de zaak schoon.

Yonni 18 april 2013 10:24

AVG heeft dit geintje ook eens gehad paar jaar terug dacht ik. Vind wel dat ze er snel bij zijn met 8 minuten online staan.

Reflian @Yonni • 18 april 2013 12:46

Dit was ook mijn eerste gedachte, maar toen bedacht ik me dat zelfs in die 8 minuten duizende pc's geupdate zijn. Hetzelfde zagen we bij McAfee en AVG eerder al, maar langer. Ik vraag me af waarom bedrijven met beveiligingssoftware geen gebruik maken van een wat meer stapsgewijze uitrol, hetzelfde geldt voor windows updates. Zo moeilijk is het toch niet om net nieuwe updates incrementeel naar steeds meer pc's te sturen met een korte wachttijd ertussen. Dus bijvoorbeeld eerste enkele tientallen pcs de update toesturen, wacht 10 minuten, stuur 100 pcs de update, wacht 10 minuten, stuur 1000 pcs de update, wacht 10 minuten, en pas daarna oid sta je elke pc toe de update te installeren. Ondertussen in de gaten houden of er enige vorm van feedback terugkomt, en of de pcs nog wel verbinding houden etc. Lijkt me een makkelijke manier om heel veel gebruikers te beschermen van een update die het hele systeem onklaar maakt, in plaats van pas na 8 volle minuten de update wereldwijd te verspreiden erachter komen dat iedereen klaagt, en dan snel de update stop zetten.

Elmo_nl @Reflian • 18 april 2013 17:37

Ik snap je argument wel, maar begrijp ook dat het maken van zo'n ingrijpende fout als deze die de pc onklaar maakt minder vaak voorkomt dan een 0-day exploit of zo iets ergs. Als je niet zo veel mogelijk pc's zo snel mogelijk van de beste updates voorziet hebben die ook de kans snel te groeien. En dan denkt elke betalende klant van zijn anti-virus pakket 'ja hallo, ik betaal x per jaar en dan is mijn buurman wel beschermd en ik niet?' b.v. Elke anti-virus is zo goed als de laatste definities 'actueel' zijn. En dan kun je niet een deel van je klanten eerder helpen dan de rest (vanuit een business perspectief gezien) zonder dat de rest (beargumentabel) zich benadeeld voelt. Vergeet ook niet dat (vooral consumenten pc's) niet alle pc's 100% van de tijd online zijn en x keer per dag naar de nieuwste definities zoeken. Mensen die hun pc een maand niet aan hebben gehad, opstarten gaan niet meteen na < 10 minuten herstarten omdat de AV daar om vraagt na het updaten omdat ze net zijn begonnen met het downloaden/lezen van hun e-mails etc.

MGutker @Yonni • 18 april 2013 14:48

Ben ik even blij XD

Ik was bezig met een virus pc op mijn werk op dat moment XD (Malwarebytes for life).
Gelukkig was ik zo nuchter om die bestanden niet te laten verwijderen. Zo zie je maar weer dat je altijd moet lezen wat er op je scherm staat... Wel puur toeval dat ik juist die update te pakken had.... aangezien het een HirensCD was waarmee ik werkte was het geen automatische download... Gelukkig maar want dan was de klant niet zo blij geweest

Groet,

MGutker

Jeroen @Yonni • 18 april 2013 12:30

Ik vind het raar dat ze er wel na 8 minuten achter kunnen komen 'o nee dit hadden we niet moeten doen' maar dat ze dat niet 8 minuten eerder konden bedenken bij het fatsoenlijk testen van de update.

Powermage @Yonni • 18 april 2013 12:50

AVG heeft het 2 maanden geleden nog gehad op XP bakkies...

luckyjan 18 april 2013 10:25

Fouten kunnen altijd gemaakt worden. Toch knap dat ze het na 8 minuten weer offline gehaalt hebben. Ik heb met Malware Bytes de afgelopen jaren menig pc gered bij mensen dus door deze blunder verliezen ze mij iig niet als klant (sowieso niet omdat de licentie levenslang is

)

[Reactie gewijzigd door luckyjan op 27 juli 2024 08:27]

ArgantosNL @luckyjan • 18 april 2013 10:39

toch slecht dat nu nogsteeds systeembestanden verwijderd worden door foutive virus defenities. Hoe moeilijk is het om een paar virtuele OS'en te hebben staan met snelle SSD's en CPU en dan even een scan doen over een basis installatie/systeembestanden. Dan kun je dit soort blunders voorkomen zonder dat het veel extra kost.

Taghorn @ArgantosNL • 18 april 2013 14:22

Goed testen is duur, alles testen is onmogelijk door het aantal varianten.
Je hebt een hele stapel OS'en die door 1 pakket bediend worden (WinXP, 95, 2000, 2008, 7, 8, etc). Die hebben allemaal verschillende versies van Service packs en updates.

Al die combinaties kun je niet testen. Ze testen de gangbare OS'en en hun standaard variaties (SP 0, SP1, SPX, laatste versie). Gaat dat goed, dan hopen we op het beste. Anders word het te duur en dat willen de klanten niet betalen (want die test moet je bij elke build doen en dat maakt het duur)

locke960 @ArgantosNL • 18 april 2013 20:06

toch slecht dat nu nogsteeds systeembestanden verwijderd worden door foutive virus defenities.

Ik vraag me vooral af waarom AV software besmette systeembestanden überhaupt verwijderd, incorrecte detectie of niet.

Met dat besmette bestand werkt de PC tenminste nog.
Zonder dat bestand werkt de PC helemaal niet meer.

Als je het bestand dus niet kunt herstellen moet je er gewoon afblijven. (en veel waarschuwingen naar de gebruiker natuurlijk)

bonus @luckyjan • 18 april 2013 10:39

Toch vraag je je af of dit met een eenvoudige test niet ook naar boven zou moeten zijn gekomen ? Het wordt toch getest voor het online gaat ?

DamonTheron 18 april 2013 10:26

Dat zal een klap worden voor Malwarebytes, want het gebruikers vertrouwen zal er niet op vooruit gaan zo. Je zou verwachten dat updates in ieder geval op dit soort problemen zouden worden getest voor ze de deur uit gaan, maar schijnbaar is de procedure daar iets minder strict dan ik verwacht.

glaaj @DamonTheron • 18 april 2013 10:29

Fouten maken is en blijft menselijk, ik vind het mooier om te zien dat ze er zo snel bij zijn. Het had ook een dag of een week kunnen duren bijvoorbeeld. Zo lang als dat stukje software werkt gebruiken mensen het toch wel.

Proxy @DamonTheron • 19 april 2013 06:57

Het kan best zijn dat het op hun systemen wel werkt, maar dat het probleem wordt veroorzaakt door een ander stukje software i.c.m. de betreffende update. Je kunt niet elk scenario testen.

kamerplant 18 april 2013 10:31

Dit is een van de redenen waarom ik twijfel om een antivirus pakket op m'n iMac te plaatsen. Ik vind veiligheid belangrijk, maar stabiliteit is minstens zo belangrijk. Zo'n virus pakket nestelt zich zo diep in een systeem zodat je gewoon een zwakke schakel bij hebt. Ik ben er nog niet over uit.

Heli0s @kamerplant • 18 april 2013 10:39

Ik vind je denk wijzen niet helemaal terecht. De kans dat je een virus of malware oploopt is vele malen groter dan dat de software je systeem kapot maakt. Op een mac misschien iets minder, maar ik vind het onverantwoord als je geen virus scanner draait op een windows systeem.

Belgar @Heli0s • 18 april 2013 13:01

onzin, ik draai ook al jaren zonder en heb nergens last van. alles wat met buiten verbinding maakt draait in een sandbox. De ene keer per 2-3 jaar dat het toch nodig is gaat de sandbox leeg en twee minuten later draai je weer zonder problemen.

Bovendien is het risico helemaal niet zo groot als je gewoon oplet. Bewustwording zou een hoop meer ellende schelen dan een virusscanner. Voorkomen is nog altijd veel beter dan genezen

blorf @Belgar • 18 april 2013 18:24

Als alles wat met buiten verbinding maakt in een sandbox draait heb je volgens mij het risico alleen maar verplaatst naar die sandbox. Geen idee wat je daarvoor gebruikt, maar die sandbox heeft dan vrijwel dezelfde beveiliging nodig als wanneer je alles normaal gebruikt.

Plopeye @Belgar • 19 april 2013 23:21

Helaas Belgar de tijden dat je je als mac gebruiker zo kon opstellen zijn voorbij...

Steeds vaker zie je java based cross platform malware verschijnen. En ook met enige regelmaat blijken sandbox constructies ook lek te zijn.

Geen antivirusprogramma hebben draaien onder het mom van ik heb een mac dus is niet nodig zou ik als naief danwel arrogant willen bestempelen.

tweaker2010 18 april 2013 10:29

Slordige fout zeg! Ik ben zelf ook een Malwarebytes gebruiker, maar dit heeft nogal een flinke impact.

I can't run the validation because I don't have internet access. Malwarebytes managed to screw that up too.

Aldus een van de reacties op dat forum. Ze kunnen wel een fix uitbrengen, maar veel mensen zijn gedwongen om alsnog Windows opnieuw te installeren.

Dylan93 @tweaker2010 • 18 april 2013 10:57

Slordige fout zeg! Ik ben zelf ook een Malwarebytes gebruiker, maar dit heeft nogal een flinke impact.

[...]

Aldus een van de reacties op dat forum. Ze kunnen wel een fix uitbrengen, maar veel mensen zijn gedwongen om alsnog Windows opnieuw te installeren.

Dat is wel heel extreem, sinds Windows Vista heeft Windows er een prima Recovery gedeelte inzitten welke kritieke bestanden apart heeft staan om makkelijk terug te zetten.

Met systeemherstel kom je volgens mij ook wel een eind.

Droefsnoet @tweaker2010 • 18 april 2013 10:45

dus iemand klaagt online dat die niet online kan?

Defnox @Droefsnoet • 18 april 2013 12:34

Tegenwoordig hebben de meeste mensen de beschikking over verschillende apparaten waarmee ze toegang hebben tot het internet. Schokkend maar waar.

Dit zijn wel pijnlijke fouten hoor. Dit betekent een flinke knal voor de reputatie van de software. Malwarebytes zal nu meer onder een vergrootglas komen te liggen, waardoor Malwarebytes nu echt moet opletten dat er zich voorlopig geen vergelijkbare problemen voordoen. Anders vrees ik dat de gebruikersgroep wel eens fors kan verminderen. Het uitkiezen van gratis software blijft nou eenmaal gedeeltelijk een gevoelskwestie en dit soort nieuws werkt niet in je voordeel. Een goede reputatie is nou eenmaal sneller gebroken dan opgebouwd.

[Reactie gewijzigd door Defnox op 27 juli 2024 08:27]

LD1995 @tweaker2010 • 18 april 2013 14:50

Nou nou wat een impact. En hoe heeft MalwareBytes zijn netwerk plat gelegd? Pure onzin want hij plaatst dat op een forum. Dat geeft aan dat hij ook nog toegang heeft tot een ander apparaat verbonden met internet en als dat een smartphone is dan zit hij niet in een ontwikkelingsland waar de eerst volgende pc 20km verderop staat.

ByteMe_ 18 april 2013 10:35

Vind 1000en nog in verhouding niet zoveel als je van miljoenen gebruikers uit gaat. 8 minuten is ook redelijk snel opgelost vind ik.

MBAM is iets wat ik graag gebruik voor het controleren van de pc, maar de afgelopen maanden gelukkig clean gebleven waardoor ik niet vaak meer scan en ze hebben wat dat betreft ook vaak updates, want elke keer mag ik MBAM opnieuw installeren.

Anoniem: 16328 @ByteMe_ • 18 april 2013 10:50

Het is snel maar als ze toch de eigen software hadden getest op een Windows machine dan hadden ze het bestand niet eens online geplaatst.

Wildfire

@Anoniem: 16328 • 18 april 2013 14:46

Het is snel maar als ze toch de eigen software hadden getest op een Windows machine dan hadden ze het bestand niet eens online geplaatst.

Dan moeten ze het wel getest hebben op een PC met exact dezelfde Windows met exact dezelfde systeembestanden en dan in dezelfde taal vaak ook nog eens. Er zijn gewoon meerdere factoreren die meetellen en als de testsystemen net die combinaties niet hebben dan valt zo'n false positive dus niet op.

Zoals al wordt aangegeven: dan zou je er continu honderden zo niet duizenden testsystemen op moeten nahouden om zo ongeveer elke mogelijke software-combo te kunnen testen.

Krijg je alleen een programma dat tweehonderd euro per maand kost omdat ze erg hoge lasten hebben door deze uitgebreide testmogelijkheden....

coolkil 18 april 2013 11:04

ik heb net gister een voledige scan gedaan!!!
Blij dat ik vandaag niet nog 1 heb gedaan anders had weer in de penarie gezeten. Tuurlijk is het op te lossen, maar daar moet je dan weer tijd voor maken. Daar heb ik op stage geen zin in!!
Any way iedereen kan een keer een foutje maken.
Dit toont dan wel weer aan hoeveel mensen dat programma gebruiken. Duizenden downloads in 8 minuten!!! das niet slecht!

luckyjan @coolkil • 18 april 2013 11:34

Als je net zoals ik de betaalde versie hebt die in het geheugen blijft werken gaat hij automisch updaten als er een nieuwe update is. Dus dan is het niet vreemd dat je meteen duizenden downloads hebt.

Carlos0_0

Malwarebytes

18 april 2013 11:41

Ik heb de pro versie dus deze heeft denk ik al wel de update gehad, gelukkig heeft die bij mij windows 8 nog geen melding weer gegeven.

Het kan ook zijn omdat ik deze week nog niet gescand heb.

Dit is verder wel de ideale combinatie gewoon de gratis scanner van microsoft en deze pro versie draaien, ik heb ze wel eens uitgezet en eset of iets geïnstalleerd of avg laatste tijd om te testen en ze vinden nooit iets.

[Reactie gewijzigd door Carlos0_0 op 27 juli 2024 08:27]

Op dit item kan niet meer gereageerd worden.

Foutieve update Malwarebytes maakt duizenden pc's onbruikbaar

Lees meer

Reacties (75)

Sorteer op:

Weergave: