{"id":265125,"date":"2022-05-09T08:52:59","date_gmt":"2022-05-09T06:52:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265125"},"modified":"2024-07-31T22:08:32","modified_gmt":"2024-07-31T20:08:32","slug":"trend-micro-sicherheitslsungen-registry-nderungen-nach-fehlalarm-3-mai-2022-zurcknehmen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/09\/trend-micro-sicherheitslsungen-registry-nderungen-nach-fehlalarm-3-mai-2022-zurcknehmen\/","title":{"rendered":"Trend Micro Sicherheitslösungen: Registry-Änderungen nach Fehlalarm (3. Mai 2022) zurücknehmen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Am 3. Mai 2022 kam es zu einem Fehlalarm bei der Sicherheitsl\u00f6sungen Trend Micro Apex One<\/em> sowie Worry Free Business Security<\/em>, die die Datei msedge_200_percent.pak<\/em> aus dem Edge 101.0.1210.32 unter Windows als Malware\/Trojaner einstufte. Das Problem wurde zwar durch ein Signatur-Update behoben, aber durch den Vorfall gibt es ge\u00e4nderte Registrierungseintr\u00e4ge. Nun liegt auch eine L\u00f6sung von Trend Micro vor, auch diese ungewollten Registrierungs\u00e4nderungen zu korrigieren.<\/p>\n

<\/p>\n

Der Apex One-Fehlalarm<\/h2>\n

\"\"Zum 28. April 2022 hatte Microsoft den Chromium-Edge Browser auf die Version Edge 101.0.1210.32 aktualisiert, um die beiden Schwachstellen CVE-2022-29146<\/a> (Privilegienerh\u00f6hung) und CVE-2022-29147<\/a> (Abrufen von Informationen) zu schlie\u00dfen. Am 3. Mai 2022 h\u00e4ufen sich bei mir im Blog die R\u00fcckmeldungen von Administratoren, dass die Trend Micro Sicherheitsl\u00f6sungen Apex One<\/em> sowie Worry Free Business Security <\/em>einen falschen Alarm ausl\u00f6st und vermeintlich einen Trojaner in der Datei msedge_200_percent.pak<\/em> aus dem Edge 101.0.1210.32 erkennt.<\/p>\n

Ich hatte das Ganze im Blog-Beitrag Trend Micro Apex One l\u00f6st Fehlalarm beim Microsoft Edge 101.0.1210.32 wegen msedge_200_percent.pak aus<\/a> aufgegriffen. In diesem Beitrag sind auch einige Beschreibungen der Betroffenen zum Fehlalarm zu finden. Trend Micro hatte den Sachverhalt best\u00e4tigt<\/a> und einige Stunden sp\u00e4ter eine korrigierte Signatur-Datei freigegeben, die den Fehlalarm beseitigte.<\/p>\n

Ryan Torio | Customer Service Engineer – Global Technical Support<\/p>\n

Apologies for the issue this happened on your side. As an update, our Antimalware Team already released a Smart Scan Pattern 21474.139.09 to revoke these detections.<\/p>\n

Please make sure to update your Trend Micro Product to make sure it gets the latest pattern Smart Scan Agent Pattern 17.541.00 to revoke the detection of False Positives.<\/p><\/blockquote>\n

Die Best\u00e4tigung des Vorfalls durch Trend Micro erfolgte im Beitrag CUSTOMER ADVISORY: Trend Micro False Positive Detection Reported with Microsoft Edge (May 2, 2022) – der dort angegebene 2. Mai 2022 ergibt sich aus dem lokalen Datum, in Deutschland war es bereits der 3. Mai 2022, als der Fehlalarm auftrat. Beim Smart Scan Agent Pattern 17.541.00 oder sp\u00e4ter trat der Fehlalarm auf und wurde erst mit dem Smart Scan Pattern 21474.139.09 oder h\u00f6her wieder beseitigt.<\/p>\n

Ge\u00e4nderte Registrierungseintr\u00e4ge<\/h3>\n

Problem beseitigt? In diversen Kommentaren erw\u00e4hnten Betroffene aber, dass durch den Vorfall ungewollt Registrierungseintr\u00e4ge unter Windows ver\u00e4ndert wurden.\u00a0 Peter L. berichtet hier<\/a>, dass auch der Registrierungseintrag:<\/p>\n

HKEY_USERS\\$SID\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ActiveDesktop\\NoChangingWallpaper<\/pre>\n
ver\u00e4ndert werde. Im Blog-Beitrag Trend Micro Apex One l\u00f6st Fehlalarm beim Microsoft Edge 101.0.1210.32 wegen msedge_200_percent.pak aus<\/a> finden sich weitere Hinweise auf einzelne ge\u00e4nderte Registrierungseintr\u00e4ge. Blog-Leser MRa schrieb in diesem Kommentar<\/a>:<\/p>\n
In logs im folgenden Ordner (%Pfad_des_TM_Agents%\\report) findet man, wo genau der Agent was ge\u00e4ndert hat.<\/p><\/blockquote>\n
und postete nachfolgenden Auszug aus der Log-Datei mit ge\u00e4nderten Registrierungseintr\u00e4gen:<\/p>\n
\n
\u2013>reboot modify registry data(\"HKEY_LOCAL_MACHINE\",\"Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\",\"NoDriveTypeAutoRun\") success \r\n\u2013>reboot modify registry data(\"HKEY_USERS\",\"S-1-5-21\u2013********-********-********-****\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\",\"NoDriveTypeAutoRun\") success \r\n\u2013>reboot modify registry data(\"HKEY_USERS\",\"S-1-5-21\u2013********-********-********-****\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\",\"Hidden\") success \r\n\u2013>reboot modify registry data(\"HKEY_USERS\",\"S-1-5-21-********-********-********-****\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\",\"ShowSuperHidden\") success<\/pre>\n
\u2013>reboot delete registry value(\"HKEY_LOCAL_MACHINE\",\"SOFTWARE\\Policies\\Microsoft\\Windows NT\\SystemRestore\",\"DisableSR\") success \u2013>reboot modify registry data(\"HKEY_LOCAL_MACHINE\",\"SYSTEM\\CurrentControlSet\\Services\\RemoteRegistry\",\"Start\") success<\/p>\n
<\/pre>\n<\/blockquote>\n
Hier stellte sich die Frage, ob Trend Micro dies auch korrigiert, oder ob Administratoren eine manuelle Nacharbeit durchf\u00fchren m\u00fcssen.<\/p>\n
Manuelle Wiederherstellung der Registrierungseintr\u00e4ge<\/h3>\n
In der Best\u00e4tigung des Vorfalls durch Trend Micro merkt der Hersteller an, dass einige Kunden – in Abh\u00e4ngigkeit von ihren Konfigurationseinstellungen f\u00fcr die Endpunktbereinigung – \u00c4nderungen an der Registrierung beobachtet haben. Um diese \u00c4nderungen zur\u00fcckzunehmen, schl\u00e4gt Trend Micr bei der Apex One folgende Schritte vor.<\/p>\n
1. \u00d6ffnen Sie auf dem betroffenen Computer eine Eingabeaufforderung mit erweiterten Administratorrechten.<\/p>\n
2. Navigieren Sie zum Ordner \\Backup auf dem betroffenen Computer, auf dem der Apex One Agent ausgef\u00fchrt wird (normalerweise C:\\Programme (x86)\\Trend Micro\\Security Agent\\Backup).<\/p>\n
3.\u00a0 In dem Ordner sollte sich eine Datei mit dem Namen TSE_GENCLEAN_XXXX_XX_XX_XXX_XXX_XXX.DAT befinden, und notieren Sie sich diesen Namen (wobei XX f\u00fcr Datum und Zeitstempel steht). Beispiel:\u00a0 TSC_GENCLEAN_2022_05_03_17_54_14_118_035.DAT).<\/p>\n
4.\u00a0 Navigieren Sie zur\u00fcck zum Agent-Ordner (normalerweise C:\\Program Files (x86)\\Trend Micro\\Security Agent).<\/p>\n
5.\u00a0 F\u00fchren Sie den folgenden Befehl aus:
\na. 64-Bit-Rechner: tsc64.exe -restore=.\\backup\\TSC_GENCLEAN_XXXX_XX_XX_XX_XXX_XXX_XXX.DAT
\nb. 32-Bit-Maschinen: tsc.exe -restore=.\\backup\\TSC_GENCLEAN_XXXX_XX_XX_XX_XXX_XXX_XXX.DAT<\/p>\n
Die hier angegebene Datei;<\/p>\n
TSC_GENCLEAN_XX_XX_XX_XX_XX_XXX_XXX_XXX.DAT <\/em><\/p>\n
ist in obiger Befehlszeichenfolge durch den Namen der Datei, die in Schritt Nummer 3 notiert wurde zu ersetzen. Durch die oben genannten Schritte werden die \u00c4nderungen wiederhergestellt, die bei der Ausf\u00fchrung des Schadensbereinigungstools des Agenten vorgenommen wurden, schreibt Trend Micro.<\/p>\n
Korrektur-Script f\u00fcr Registrierungseintr\u00e4ge<\/h3>\n
In gr\u00f6\u00dferen Umgebungen sind die obigen manuellen Reparaturschritte nicht durchf\u00fchrbar. Trend Micro hat f\u00fcr diese Umgebungen ein Referenzskript erstellt, um die Wiederherstellungsprozeduren unter Verwendung des oben genannten TSC-Tools auf automatisierte Weise mit GPOs oder anderen \u00e4hnlichen Skripting-Tools auf Unternehmensebene bereitzustellen.<\/p>\n
Das aktualisierte Referenzskript kann als kennwortgesch\u00fctztes ZIP-Archiv von Trend Micro heruntergeladen<\/a> werden.\u00a0 Das Kennwort f\u00fcr die Zip-Datei lautet novirus<\/em>.<\/p>\n
Den Kollegen von Bleeping Computer, die ich in einer privaten Meldung auf Twitter informierte, haben diese Registrierungs\u00e4nderungen zum 7. Mai 2022 samt einer L\u00f6sung von Trend Micro aufgegriffen<\/a>. Administratoren, die dieses Skript als Batch-Datei oder mit einer anderen Methode einsetzen, sollten das Skript vor der Anwendung zun\u00e4chst sorgf\u00e4ltig pr\u00fcfen und in ihrer Umgebung testen.<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Am 3. Mai 2022 kam es zu einem Fehlalarm bei der Sicherheitsl\u00f6sungen Trend Micro Apex One sowie Worry Free Business Security, die die Datei msedge_200_percent.pak aus dem Edge 101.0.1210.32 unter Windows als Malware\/Trojaner einstufte. Das Problem wurde zwar durch ein … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,426,161],"tags":[4298,4313],"class_list":["post-265125","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-sicherheit","category-virenschutz","tag-problemlosung","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265125"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265125\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}