Webroot删除Windows文件并对用户产生严重问题
Webroot“S Endpoint Security产品,消费者和企业相似的用户,星期一的令人讨厌的惊喜,当程序开始将Windows文件标记为恶意时。
报告迅速在Twitter上突然出现,并继续在Webroot社区论坛上 - 14页和计数。该公司提出了一个手动修复来解决这个问题,但许多用户仍有问题恢复受影响的系统。
问题是杀毒行业中所知为“假阳性” - 一个清洁文件被标记为恶意的情况,并被阻止或删除。假的积极事件可以在仅仅讨厌的影响中,例如,当程序不能再运行时 - 致力于,操作系统本身受到影响并且不再靴子。
Webroot入机在中间的某个地方掉落,因为它影响了合法的Windows文件并将它们发送到隔离区。这有点不寻常,因为防病毒公司通常专门构建OS文件的白名单,以防止假阳性检测。
“一个是恶意软件的已知目标的文件夹被错误地归类为糟糕,Facebook被归类为网络钓鱼站点,”Webroot在一封电子邮件中表示。“Facebook问题已被纠正,Webroot团队正在为虚假积极问题创建全面修复。”
检测不正确持续了两个小时,在U.S的山上标准时间延长了两个小时,导致文件被标记为w32.trojan.gen。如名称所提出的,这是一个旨在捕获木马程序的通用检测签名。
目前,Webroot在其社区论坛提供了一个解决方案,涉及登录Webroot的在线控制台,并手动为所有错误的阻止文件创建覆盖规则。
然后,用户必须等待端点客户端调用服务器并根据新规则还原文件,最多可能需要24小时,或者手动触发来自命令行的每个客户端的强制轮询。
虽然此解决方案可能适用于家庭用户或具有相对较少的计算机的企业,但它会对大型环境产生问题,特别是对于托管服务提供商(MSP)。
“当您”重新MSP“时,这不是一个修复,其中一个用户在论坛上写道。
“我应该如何在3个GSMS [Webroot全球网站管理部署]中使用300多个客户端站点来执行此操作?不够好,“另一个人说。
一个用户报告说,他诉诸使用Windows“Shadow Copy Feature来恢复受影响的文件。另一个人说他的MSP公司正在考虑法律诉讼,因为它可能必须赔偿自己的客户的停机时间。
“我们无法使用恢复,因为大多数备份服务器核心也受到影响,”他说。“一些服务器尚未起来,我们看起来像傻瓜。”
Webroot代表在公司的论坛上表示,该公司正在努力实现普遍解决的解决方案,这些解决方案也适合MSP。