False positive Sophos – niektóre pliki wykonywalne klasyfikowane jako Shh/Updater-B

Niektórzy użytkownicy Sophos zgłosili dzisiaj wykrycie Shh/Updater-B jako zagrożenia. Sophos informuje, że jest to fałszywe wykrycie i jednocześnie przeprasza za zaistniałą sytuację.

Dla klientów posiadających Live Protection komunikat zniknie po oznaczeniu pliku jako „clean” w chmurze.

Jeśli nie posiadasz aktywnej usługi Live Protection, fałszywe zgłoszenia detekcji przestaną być pokazywane po pobraniu pliku javab-jd.ide przez stacje użytkowników (plik wydany 19.09.2012 o 21:32).

Niezależnie od ustawionej polityki usuwania/przenoszenia, plik wykryty w tym przypadku jako zagrożenie zostanie przeniesiony do kwarantanny.

Należy dokładnie sprawdzić politykę SAV pod kątem automatycznego czyszczenia. Należy upewnić się, że dodatkowa opcja (kiedy automatyczne czyszczenie nie jest dostępne lub nie działa) wskazuje „zablokuj dostęp” („deny access”) oraz nie usuwaj/nie przenoś pliku. Kiedy fałszywa detekcja zostanie zablokowana, możesz zautoryzować alerty użytkowników, i obserwować tych, którzy wciąż zgłaszają problem – raportów będzie coraz mniej.

Rozwiązanie?
Jeśli SUM nie jest w stanie wykonać update’u, prawdopodobnie nie był w stanie zdekodować plików w magazynie, ponieważ zostały fałszywie wykryte jako Shh/Updater-B.

Aby rozwiązać ten problem i poprawnie pobrać plik IDE, który wyeliminuje błąd należy:

1. Usunąć agen-xuv.ide z lokalizacji C:\Program Files\Sophos\Sophos Anti-Virus\
[C:\Program Files (x86)\Sophos\Sophos Anti-Virus\] 2. Zrestartować „Sophos Anti-Virus Service”
3. Wykonać update SUM z konsoli zarządzania

Stacje końcowe nie mogące wykonać update’u:

Jeśli istnieją stacje, które nie mogą się zaktualizować z powodu fałszywego wykrycia należy:

1. Centralnie zablokować skanowanie On-Access przez politykę w konsoli zarządzania (SEC).
2. W konsoli wybrać grupy i wskazać „Update Now”.
3. Po wykonaniu aktualizacji, ponownie odblokować opcję skanowania On-Access.

Sophos jeszcze raz gorąco przeprasza wszystkich swoich klientów za zaistniałą sytuację.

1 Komentarz. Zostaw nowy

Z bloga pewnego admina:

This is actually more serious than Sophos is making it out to be. I posted a comment to:
http://nakedsecurity.sophos.com/2012/09/19/sshupdater-b-fsophos-anti-virus-products/
but my message was never approved by their blog admin.
I’m hoping I can share my story here.
shh/updater-b did not only detect Sophos itself as a threat, but many other updater services as well. We have been able through our logs to pinpoint Adobe Flash, Oracle Java, Fujitsu AutoUpdater, Dell AutoUpdate Utilities, etc.
If you read what they describe in the link I provided in regards to protection levels set to move or delete infected files this is where the big problem resides. We had our Sophos install setup to move/delete infected/suspected files.
All of the auto-updaters mentioned above were deleted off hundreds of PCs. Now none of these applications will auto-update moving forward.
What makes my story unique is we are a medical facility. Our Electronic Health Records (EHR) application had a DLL used for auto-updating that application that was detected and deleted as a part of the shh/updater-b false positive fiasco. The absence of this DLL file prevented the application from opening and crashed every time you tried to load it. This created a threat to patient safety for us. Even though Sophos may have fixed the problem and fixed their own software, there is a monumental amount of work we have to do to clean up after this mess. I’ve worked in IT for 16 years and have NEVER had a virus/trojan/spyware/malware cause problems and disrupt our systems the way this did. Who can I trust anymore when even my security AV vendor can wreak more havoc on our systems than a virus infection outbreak can.