locked
False Virus Alerts by Virus Pattern 1.119.1972.0 RRS feed

  • Allgemeine Diskussion

  • Starting my Internet Explorer on Windows 7 - which is protected by Microsoft Forefront Endpoint Protection - I've got the attached Message running "iexplore google.com".
    Reporting about this issue on http://blog.cryptonic.net/2012/02/windows-exploitjsblacolebw-microsoft.html is resulting in about 1000+ visits per hour.
    Content of the suspicious htm file has been attached to the blog.

    Detected Items: Exploit:JS/Blacole.BW
    Alert Level: Severe
     
    Category: Exploit
    Description: This program is dangerous and exploits the computer on which it is run.
     
    Recommended action: Remove this software immediately.
    Security Essentials detected programs that may compromise your privacy or damage your computer. You can still access the files that these programs use without removing them (not recommended). To access these files, select the Allow action and click Apply actions. If this option is not available, log on as administrator or ask the security administrator for help.
     
    Items: file:C:\Users\matthias.wiora\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QN6Z5RG5\google_de[1].htm

     

    Mittwoch, 15. Februar 2012 02:14

Alle Antworten

  • Hi,

    das ist das deutsche Forefront Forum. Koenntest Du Deine Frage bitte in Deutsch verfassen oder Dich bitte an das englische FEP Forum wenden:
    http://social.technet.microsoft.com/Forums/en-US/FCSNext/threads


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 15. Februar 2012 05:11
  • Ich möchte allerdings hinzufügen, dass das Problem bei uns auch besteht. Anscheinend hat MS da ein False-Positive produziert, denn das Problem bestand scheinbar auch in den Security-Essentials, wurde aber heute Nacht mit einem Update bereinigt (Virendefinitionsnummer 1.119.1998.0).

    Heute Nacht wurde bei uns auf dem TMG automatisch das Definitionsupdate 1.119.1972.0 installiert. Danach wurde der Zugriff auf Google mit der folgenden Fehlermeldung gesperrt:

    Der Zugriff auf die Datei ist blockiert.

      Der Zugriff auf die angeforderte Datei ist aufgrund einer festgestellten Infektion blockiert:
      Kategorie: Exploit
      Name der Infektion: Exploit:JS/Blacole.BW

    Ich bin nicht sicher, ob ich jetzt einen Case beim Technet-Support eröffnen oder einfach abwarten soll.




    • Bearbeitet Shisu.Ado Mittwoch, 15. Februar 2012 08:14
    Mittwoch, 15. Februar 2012 07:41
  • Hi,

    die aktuelle Malware Inspection Definitionsdatei am TMG ist auch  1.119.1998.0 und damit taucht das Problem nicht mehr auf. Wieso willst Du einen Call eroeffnen?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 15. Februar 2012 08:25
  • Hmm, seltsamerweise aktualisiert mein TMG sich nicht, wenn ich die Aktualisierung anstoße? Angeblich sollen meine Definitionen auf dem neuesten Stand sein...

    Nachtrag: Ok, die Signaturupdates kommen bei uns über den WSUS, welcher sich seit heute Nacht noch nicht wieder synchronisiert hatte. Nachdem ich jetzt manuell eine Synchronisation angestoßen habe, befand sich auch das aktuelle Signaturupdate darunter. Jetzt sind auch die aktualisierten Definitionen installiert und Google ist wieder aufrufbar.



    • Bearbeitet Shisu.Ado Mittwoch, 15. Februar 2012 09:29
    Mittwoch, 15. Februar 2012 08:30
  • Hi,

    alles klar, so soll es sein!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 15. Februar 2012 08:42
  • Hi Marc,

    der false positiv tritt bei vielen unserer System auch auf. Wie bekommen ich die aktuelle Signatur am schnellsten auf den TMG?

    Letze Aktualisierung am TMG war z.B. um 3:31 Uhr /15.02.12 - letzte Prüfung um 10:15 Uhr - trotzdem sperrt die TMG noch.


    Danke und liebe Grüße Oliver Richter


    Mittwoch, 15. Februar 2012 09:12
  • Hi,

    welche Signatur hast Du denn am TMG? 1.119.1998.0 ist die aktuellste: Schon mal im Update Center der TMG MMC nach Updates gesucht?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 15. Februar 2012 09:29
  • Der letzte Updatestand ist noch die 1.119.1972.0

    Im TMG MMC habe ich nach Updates gesucht. Er meint dann nach kurzer Zeit sofort "auf aktuellen Stand" - letzte Prüfung z.B. jetzt 10:44 Uhr

    Ansonsten stehen die Defi Updates auf ein Intervall von 15 min.


    Danke und liebe Grüße Oliver Richter

    Mittwoch, 15. Februar 2012 09:46
  • Vielleicht derselbe Denkfehler, wie bei mir vorhin? Kommen bei euch vielleicht die Updates auch über einen internen WSUS, der sich noch nicht mit MS synchronisiert hat?
    Mittwoch, 15. Februar 2012 09:48
  • grrr... ja der WSUS versorgt den TMG mit Updates. Wobei ich ja immer dachte, dass die Defi Updates des TMG direkt gezogen werden. Ansonsten macht die 15 min. Einstellung ja keinen Sinn, wenn der WSUS im Standard ja nur 1x am Tag updatet. Andererseits den TMG aus dem WSUS rausnehmen ist auch nicht so sinnvoll, weil man da keine "Überwachung" über den Updatesstatus hat. Gibt es da eine Lösung?


    Danke und liebe Grüße Oliver Richter

    Mittwoch, 15. Februar 2012 10:04
  • Hi,

    ich habe bei mir in den TMGs folgende Einstellungen:

    Update Center -> Einstellungen konfigurieren

    Registerkarte Microsoft Update: Aktiviert

    Registerkarte Updatedienst: Microsoft Update direkt verwenden

    Dadurch zieht sich der TMG die Aktualisierungen für Antimalware direkt von MS und nicht aus dem WSUS. Der Server ansich geht weiterhin über den WSUS.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    Mittwoch, 15. Februar 2012 10:08
  • Hi Christian,

    den TMG wo ich grad dran bin, TMG aus dem EBS 2008 (imho TMG 2007) hat diese Einstellung nicht. Ich kann nur "MS Updatedienst verwenden" oder MS Updatedienst nicht verwenden"

    Ansonsten meint der TMG, er sei für den Empfang von Aktualisierungen von WSUS konfiguriert.


    Danke und liebe Grüße Oliver Richter

    Mittwoch, 15. Februar 2012 10:33
  • Ok, dann ist doch alles ganz einfach, wie ich oben beschrieben hatte: WSUS synchronisieren und im TMG-Update Center nach Updates suchen. Dann solltest du eine Meldung erhalten, dass aktuellere Updates verfügbar sind. Ein Klick auf "Neue Definitionen installieren" und schon ist alles wieder gut.
    Mittwoch, 15. Februar 2012 10:41
  • Hi,

    beim EBS kann das sein, das ist ja auch keine "richtige" TMG Version, sondern so ein Zwischending.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    Mittwoch, 15. Februar 2012 10:46
  • Danke - joh so hatte ich es auch angesetzt. Nur so richtig toll ist es nicht, da der WSUS generell nur 1 x am Tag es automatisch macht. Hätte der TMG direkt mit MS kommuniziert und das alle 15 min. wäre der "Fehler" fast nicht aufgefallen. Gibt es da zumindest eine Anpassung für den WSUS, dass dieser z.B. automat. aller 15 min. nach Updates pollt?

     


    Danke und liebe Grüße Oliver Richter

    Mittwoch, 15. Februar 2012 10:48
  • Das hast du ja selbst in der Hand - nur willst du wirklich zu Geschäftszeiten die ganzen Updates ziehen?

    Ansonsten: WSUS - Optionen - Synchronisierungszeitplan. Hier kannst du nur noch einstellen, wie oft er sich am Tag synchronisieren soll (1-24x).

    • Bearbeitet Shisu.Ado Mittwoch, 15. Februar 2012 10:53
    Mittwoch, 15. Februar 2012 10:50
  • Naja - MS verkauft es zumindest als "vollwertige" Version.

    Ganz klar wäre dann die Einstellung "aller 15 min." aktualisieren glatt für die Katz. Weil der TMG sich nur gegen den WSUS aktualisiert und der halt im Standard nur 1x am Tag. Heißt - von MS nicht ganz bis zu Ende verzwischendingt.

    OK bei den anderen TMGs ist die Sache schon erledigt.


    Danke und liebe Grüße Oliver Richter

    Mittwoch, 15. Februar 2012 11:04
  • *grins* Kommen denn so oft und so viele Updates während der Geschäftszeiten?

    Und falls ja, dann wären das - wie in diesen Fall sicherlich extrem wichtige (emergency) Updates.

    Zum anderen kann ja auch jeder einzelene der (in diesem Fall ca. 70 Nutzer) bei seinem W7 PC auf "Online nach Updates aus MS Update suchen" klicken. Da hätte ich bei zweien schon mehr Traffic als bei einem WSUS.

    Ich denke mit 3-4 x am Tag synchro könnte ich leben.

    Zum Glück normalisiert sich die Lage jetzt wieder. Wenn fast 600 Nutzer auf einmal schreien macht das schon Lärm und Stress. Da sieht man, wie die Welt von google abhängig ist.


    Danke und liebe Grüße Oliver Richter

    Mittwoch, 15. Februar 2012 11:12
  • Hat nichts mehr mit dem Thema zu tun, aber bei euch können die User selbst nach Windows-Updates suchen?

    Was die Abhängigkeit von Google angeht...ich hab´s hier als erster bemerkt, dann Mail an alle mit einigen Links zu anderen Suchmaschinen und dem Hinweis, dass ich mich melde, wenn das Problem behoben ist. Habe also den Usern schon vorher den Wind aus den Segeln genommen ;)

    • Bearbeitet Shisu.Ado Mittwoch, 15. Februar 2012 11:36
    Mittwoch, 15. Februar 2012 11:34
  • dann Mail an alle mit einigen Links zu anderen Suchmaschinen und dem Hinweis ...

    Tja leider fangen hier viele Nutzer schon am 5:45 Uhr an - da bin ich noch am Zähne putzen. Dann kam noch 30 min. totaler Stromausfall hinzu, der zweite Kollege war eingeschneit und kam von zu Hause nicht weg, da kommt schnell eine Lavine ins Rollen. Ich hätte heute glatt auf Freitag den 13. getippt.

    end of offtopic

    Danke an alle, die halfen! 


    Danke und liebe Grüße Oliver Richter

    Mittwoch, 15. Februar 2012 11:55
  • Ja, es gibt so Tage, da sollte man besser gar nicht erst aufstehen... ;)
    Mittwoch, 15. Februar 2012 12:49