Sophos wertet eigenes Anti-Viren-Update als Malware

Die Antiviren-Lösung von Sophos war bei der Filterung von Verdächtigen Files etwas zu gründlich und verbannte sogar die Updates für die eigene Software als Malware.

Mehrere so gannte False Positives mussten die Nutzer der Antiviren-Lösung Live Protection von Sophos hinnehmen. Doch das Programm hatte nicht nur Updates als Schädlinge gelöscht, sondern auch Dateien, die für das Programm wichtig sind.

Viele Unternehmens- und Business-Computer waren von dem Bug betroffen. Und die Postfächer der Administratoren wurden mit Mails und Warnungen überschwemmt, dass eine Shh/Updater-B-Malware entdeckt wurde.

Inzwischen hat die ansonsten als zuverlässig geltende Antivirenlösung ‘Live Protection’ von Sophos nach einem Update das Problem wieder im Griff.

Das äußerte sich dadurch, dass das System nicht mehr aktualisieren konnte, weil die Update-Funktion in der Lösung selbst unter Quarantäne gestellt wurde.

In einem Blog und in einem Knowledge-Base Artikel entschuldigte sich Sophos für diesen vermeintlichen Malware-Ausbruch:

“Wenn Sie Live Protection aktiviert haben, sollten diese Meldungen jetzt nicht mehr erscheinen, weil wir sie in der Live Protection Cloud als ‘sauber’ gekennzeichnet haben. Wenn Sie Live Protection nicht aktiviert haben, werden diese Meldungen aufhören, sobald man javad-jd.ide heruntergeladen wurde.”

Im Knowledge-Base-Artikel bestätigte Sophos auch, dass das Programm die eigenen Dateien als Malware kennzeichnete.

“Wenn SUM sich nicht aktualisieren kann, hängt das möglicherweise damit zusammen, dass Dateien im Warehouse nicht dekodiert warden können, weil sie fälschlich als Shh/Update-B identifiziert wurden.”

Ob das Leck dazu geführt hat, das Hacker in der Lage waren, Schadcode auf die Systeme einzuspieln, teilte Sophos nicht mit. Unklar ist auch, ob Unternehmen dadurch ein höheres Sicherheitsrisiko hinnehmen mussten. Sicher ist jedoch, dass dieser Fehler bei vielen Anwendern für erheblichen Arbeitsaufwand gesorgt hat. Denn obwohl Sophos das Problem über ein weiteres Update wieder in den Griff bekommen hat, müssen die Administratoren dennoch manuell die betroffenen Systeme überprüfen.

Der Update-Mechanismus einer Virenlösung ist häufig Ziel von Hackern. Die versuchen häufig, diese Programme zu deaktivieren, um dann ihre eigenen Schadprogramme einschleusen zu können.