Sophos-Antivirus - "Shh/Updater-B"-Fehler

Sophos stellte am Abend des 19.9.2012 eine fehlerhafte Malware-Signatur bereit, die den Auto-Updater selbst als bösartige Software erkannte. Auf dieser Seite wird das Problem beschrieben und die Lösungsmöglichkeiten werden erklärt.

Wie Sie einen ggf. vorhandenen Fehler auf Ihrem PC beseitigen können, entnehmen Sie bitte der Spalte rechts oder länger unserer  Empfehlung zur Fehlerbeseitigung.

Sophos hat am 19.9. gegen 22:00 über die Update-Mechanismen, also auch über unsere Update-Server, eine fehlerhafte Malware-Signatur an Sophos-AV-Programme verteilt. In Folge dessen erkannte Sophos u.A. einen häufiger in verschiedene Programme eingebauten Auto-Update-Code als Malware vom Typ "Shh/Updater-B". Der nun vom Antivirus blockierte Auto-Update-Code wird auch vom Auto-Updater von Sophos selbst verwendet - der Antivirus erkennt also quasi sich selbst fälschlicherweise als Malware.

In Folge dessen kann sich Sophos nicht mehr selbst updaten. Der Antivirus bleibt aber aktiv, jedoch auf dem Stand vom 19.9. Es besteht aber eben der Virenschutz vom Mittwochabend und somit keine akute Gefährdung des Rechners, weshalb die Fehlerbereinigung nicht überstürzt erfolgen muss.

Neben Sophos sind auch weitere Programme betroffen, uns sind u.A. folgende bekannt (leider aus dem Logging nicht ganz konkret benennbar, hier unsortiert):
ein Google-Programm, Flash-Player, Java, eine HP-Server-Software & -Treiber, Adobe-Reader, -Photoshop & -Indesign sowie weitere Adobe-Software, Sony-Vaio-Care, Apple-Software/iPod/iTunes-Update, CDBurnerXP, Mozilla Thunderbird & Firefox, PowerDVD, Notepad++, OpenOffice, Lenovo-Treiber, Quicktime, Skype, Realtek-Treiber, Atlas.ti, SPSS, Autodesk-Inventor, Nvidia-Treiber/-Software, Garmin-Software, MikTeX, TrendMicro-Server-Security, Avira-AntiVir, ...
Also insgesamt ein ziemlicher Umfang. Jedoch ist meist "nur" die Update-Funktionalität betroffen, die Programme sollten erstmal alle funktionieren.

Betroffen sind Rechner höchstens, wenn sie zwischen 19.9. ca. 22 Uhr und 20.9. morgens Updates gezogen haben (also vorallem auch durchlaufende Rechner). Uns sind bisher nur Windows-Rechner als betroffen bekannt.

Sophos hat die Signatur kurze Zeit später korrigiert und die Korrektur wieder über die Update-Server verbreitet. Clients, die bereits die fehlerhafte Signatur haben, konnten z.T. aber das Update für die bereinigte Version nicht mehr ziehen, da der Auto-Updater bereits durch den Anti-Virus lahm gelegt wurde.

Sophos hat zu dem Thema bisher mehrere Knowledge-Base-Artikel veröffentlicht. Dort werden neben Fehlerbeschreibungen und Reparaturanweisungen auch Skripte etc. beschrieben. Die Webseite gibt es auf deutsch, aber die englische Version ist deutlich aktueller; die deutsche enthält z.T. noch nicht allgemein funktionierende Hinweise (z.B. keine Beachtung der Betriebssystem-Sprache oder der von uns eingesetzten WebCIDs). Bitte folgen Sie den Hinweisen in der Sophos-KB-Seite nur, wenn Sie sich wirklich auskennen, für die Universität stellen wir ein angepasstes Programm zur Verfügung (s.u.).

Sophos hat ein Tool bereit gestellt, dass die Fehler soweit möglich behebt:

• Der Sophos-Antivirus (Endpoint Security & Control) selbst wird repariert.
• Wenn die SAV-Einstellung (anders als der von uns ausgelieferte Standard) in der Konfiguration des On-Access-Scanners auf "Zugriff verweigern und verschieben nach" ist: zurückschieben der fälschlicherweise verschobenen Dateien auch anderer Programme.
• Wenn die SAV-Einstellung (anders als der von uns ausgelieferte Standard, fast nie zu empfehlen) in der Konfiguration des On-Access-Scanners auf "Löschen" ist: eine Liste fälschlicherweise gelöschter wird in der Datei ..-ToRestoreDeleted.txt angelegt. Allerdings kann hier kein Programm reparieren ... Sie müssen leider alle betroffenen Programmpakete neu installieren.

Wir haben dieses Sophos-Tool in ein leichter ausführbares Exe-Programm eingebettet, das zudem eine Protokoll-Datei anlegt. Sollte Ihr Client Sophos-Update-Probleme haben, laden Sie bitte diese FixUpdate-LUH.Exe herunter und führen diese als Administrator aus (unter Vista/Windows-7 über Rechtsklick auf die Datei). Danach empfiehlt sich ein Neustart, der auch das ggf. noch Fehlende Sophos-Icon unten-rechts reparieren würde.

(Falls Sie Details zu dem Skript benötigen: Das Sophos-Skript und eine genauere Anleitung kann der Sophos-KB118323-Seite entnommen werden. Die deutsche Seite ist veraltet und enthält das falsche Tool (die Version hat noch Probleme mit nicht-englischen Versionen und dem von uns verwendeten WebCID, kann auch verschobene Dateien nicht wiederherstellen),die englische ist zu wählen.)

Für die Clients in der Universität, die mit der luh-sau-managed.exe oder luh-sau-unmanaged.exe installiert wurden, haben wir zentral Logs, die wir auswerten. Die Administratoren der betroffenen PCs werden wir durch Nennung der IPs (und der dann von uns empfohlenen Maßnahmen) informieren. Über Privatrechner und Notebooks außerhalb der Universität wissen wir leider nichts, da müssen die Anwender selbst nachsehen bzw. auf die Warnungen des AV-Programms reagieren.

Support-Anfragen in dieser Sache richten Sie bitte per E-Mail an uns. Legen Sie dann bitte die vom Tool FixUpdate-LUH.Exe erzeugten Log-Dateien (Pfad wird am Ende des Tools angezeigt, liegen in den Eigenen Dateien unter Sophos-FixUpdate) der E-Mail als Anhang bei. Geben Sie bitte Ihre Telefon-Nr. an, damit wir Sie ggf. anrufen können.