[English]Noch ein kurzer Nachtrag zu Trend Micro WFBS 10.0 SP1: Patch Build 2178. Wie es ausschaut, gibt es bei Systemen, wo der Patch ausgerollt wurde, kleinere Probleme. Es wird plötzlich ein Spyware-Befall auf den Clients beim Scan gemeldet.
Anzeige
Trend Micro hat zum 26. Oktober 2019 für seine Worry Free Business Security Version 10.0 Service Pack 1 einen Patch mit der Build 2178 freigegeben. Dieser soll eine 0-Day-Schwachstelle in der Web-Konsole schließen. Ich habe im Blog-Beitrag Trend Micro WFBS 10.0 SP1: Patch Build 2178 verfügbar über das Update berichtet und auch einen Workaround für Installationsprobleme genannt.
Plötzlich Spyware-Meldungen
In meinem englischsprachigen Blog haben sich nun zwei Nutzer zum Blog-Beitrag Trend Micro WFBS 10.0 SP1: Patch Build 2178 released gemeldet und klagen über Probleme mit Fehlalarmen. Matthew Warburton schreibt dazu:
Hi, we installed this latest patch and have noticed on every computer it is detecting between 80 and 100 pieces of spyware (all the same). I'm pretty sure they are false positives as we are seeing no issues with any of the PCs and all the pieces of spyware are ranging between around 2003 and 2012 – so it's not like they are new instances of spyware. Has anyone else noticed this?
Die Clients, auf denen dieser Patch installiert wurde, melden plötzlich bis zu 100 Spyware-Funde in den Dateien. Der Administrator geht davon aus, dass es Fehlalarme sind, da die Spyware-Funde angeblich auf Dateien aus den Jahren 2003 bis 2012 zurückgehen. Ein zweiter Benutzer Alessando bestätigt das Problem:
Yes, the same problem here.
Now on every computer it is detecting around 530 spywares every manual scan (the same spywares on all the clients).
Moreover, after the patch the clients can't update theirselves (network/proxy error): after the rollback the clients can update theirselves, but they detect the 530 spywares (because the patch on the client remain the 2178).
Noch kritischer ist, dass sich die Clients nach Installation des Patches 2178 nicht mehr selbst aktualisieren können und einen Netzwerk-/Proxy-Fehler melden.
Anzeige
Ergänzung: Der Beitrag hier steckte einige Stunden als Konserve zur Veröffentlichung hier im Blog. In der Zwischenzeit ist dieser Kommentar von Blog-Leser Calvin eingetroffen:
Bei mir hat die Installation problemlos geklappt, allerdings werden seit dem Patch bei jedem Scan unzählige Spywares entdeckt (50 bis 100 pro Client), scheinen aber definitiv "false positives" zu sein. Die beanstandeten Registry-Keys sind überhaupt nicht vorhanden, weder vor noch nach dem Scan und es handelt sich größtenteils um sehr alte Spyware. Da scheint der Patch wohl mit einer zu heißen Nadel gestrickt worden zu sein.
Also sind auch Nutzer deutschsprachiger TM WFBS betroffen.
Anzeige
Neben dem Problem mit den False Positives werden in meinem Fall auch sämtliche Clients seit Installation des Patches (Deutsches Setup WFBS Standard 10 mit SP1) in der WFBS Management Konsole und am Client selber als offline angezeigt. Gestern hatte ich den Support bereits kontaktiert und Logs sowie Screenshots übermittelt, aber bisher noch kein Feedback erhalten.
Danke für die Ergänzung. Ich habe Trend Micro Deutschland auf Twitter auf den Beitrag hier aufmerksam gemacht.
Der Patch installiert bei einem IIS 7 (ich habe nur Version 7) auf auf einem 64bit System die 32bit isapiclient.dll. Im Security Server Verzeichnis unter .\PCCSRV\Web_SMB\Web\CGI und .\PCCSRV\Web\CGI die isapiClientX64.dll in isapiClient.dll umbenennen und die 32bit Version ersetzen, dann sind die Clients wieder online. Dazu muss der Trend Micro Security Server Master Service beendet werden. Im Backup-Verzeichnis, das der Patch 2178 erstellt, kann man anhand der Größe der dll erkennen ob vorher 32bit oder 64bit installiert war.
Nachtrag:
Durch diese Solution bin ich drauf gekommen:
https://success.trendmicro.com/solution/1099504-clients-are-missing-from-the-officescan-console-after-upgrading-or-installing-a-patch-or-hot-fix
Ist zwar alt und für OfficeScan, hat aber geholfen.
Das scheint geholfen zu haben, Trend Micro schreibt mir:
Thank you for the response. We just got a news that this is already a known issue wherein after installing the patch 2178 all agent got offline. This is due of faulting dll after the patch.
Our product development team are already working on this issue and will release a repacked patch. I will update you right a way once the solution is ready.
Please feel free to reply to this email for any clarification on this matter. I would gladly continue to assist you.
Auch bei uns werden alle Agents nach Update auf 2178 als offline angezeigt. Hoffentlich reagiert TM bald (gestern an TM gemeldet, aber noch keine Rückmeldung)
Wie bereits im letzten Blogbeitrag zu dem Thema von mir kommentiert, ist die Installation (anscheinend glücklicherweise!) fehlgeschlagen. Heute ist der Patch auch nicht mehr verfügbar.
Bin ich froh daß meine TM-Lizenzen alle heuer auslaufen! Das mach ich mir nicht mehr länger mit.
Viel Glück an alle Mitleidenden.
War es zufälligerweise dieser Fehler?
https://www.ugg.li/trendmicro-wfbs-10-worry-free-business-security-installationsfehler-fehler-311-0xfffffb57/
Hallo Hanry,
vielen Dank für deinen Hinweis! Nach der Änderung und einem geforderten Neustart am Client, ist die Installation erfolgreich durchgeführt.
Hier sind auch alle Clients offline, und die Spyware Meldungen kann ich auch bestätigen. Habe schon ein Ticket eröffnet, aber die Vorschläge des Supports zeigen keine Wirkung. Bei TrendMicro erinnert die Qualität langsam an M$…
Auch bei mir werden alle Agents nach Update auf 2178 als offline angezeigt. Wie schon von Dietmar beschrieben, ist der Patch auf der Seite von Trend Micro nicht mehr verfügbar.
Kleine Ergänzung zum SP1: ich habe noch einen Windows Server 2008 (nicht R2) im Einsatz, auf diesem wird das Update von SP1 nicht ausgerollt; nachdem ich auf dem Server zuerst den Client händisch deinstalliert habe, danach den neuen WFBS 10 SP1 – Client installieren wollte: Dieses Betriebssystem wird nicht unterstützt !?!
Ich hatte eine Sicherung des msi-Files (vor SP1) und konnte dann den "alten" Client wieder installieren. Leider habe ich diese Situation vorher in keinem Dokument von Trend Micro gelesen.
Der TM Support hat sich jetzt bei mir gemeldet, man ist sich zumindest des Spyware Problems bewusst :
"My apologies, regarding the issue this is a known issue and we are currently coordinating this on our back-end team. As per checking this is false alarm report registry values during full scan. I will continue on coordinating this so we can fixed this as soon as possible. I will update you once I hear from the backend team and email or call you rightaway."
Der Patch wurde von den Trend Micro Download-Seiten entfernt.
Hallo Herr Born,
wir haben leider den Patch 2178 auch drauf und aktuell 9999+% Spyware Befall. Jedesmal nach einem FullScan der Clients werden Spyware Alarme ausgelöst.
Zum Glück habe ich wiedermal auf Ihrem Blog Informationen gefunden. Danke dafür!
Wir haben auch einen Call bei TrendMicro eröffnet – anbei die Antwort:
Thank you for choosing Trend Micro. My name is Jorge and I will be assisting you on your concern.
Just to inform you that our developers are already checking into this. I will send you an email if we have an update or if we need any further information.
Best regards,
Jorge Marquez | Customer Service Engineer
Trend Micro Global Technical Support
Grüße
TrendMicro hat am Samstag einen Hotfix fertiggestellt, der allerdings noch nicht "public" ist. Ich werde den vermutlich im Laufe des Tages mit einem TM Support Mitarbeiter installieren und weiter berichten…
Seit heute (05.11.2019) ist bei Trend Micro der Patch WFBS_100_SP1_WIN_ALL_Patch_2179 im Download.
Ich habe diesen soeben erfolgreich installiert.
Nach erster Kontrolle sind alle Clients nach Durchführen des Updates wieder "online". Komisch war nur, dass ich den Update am Client händisch 2x durchführen musste, erst dann wurde mir im Hotfixverlauf der Patch2179 angezeigt.
Das Thema mit den falschen Spyware-Erkennungen habe ich nicht überprüft.
Patch 2179 ist jetzt offiziell verfügbar. Bei mir hat die Installation problemlos geklappt, die Agents (Win10 & Win7) haben sich ebenfalls problemlos automatisch upgedated, und keine falschen Spyware Sichtungen mehr.
Einige Anwender haben allerdings eine Mitteilung vom Agent bekommen, dass Google Chrome neu gestartet werden muss, um das Updaten des Trendmicro Agents abzuschließen.