Il Gruppo Buffetti deve stare davvero poco simpatico a Sophos Antivirus. La casistica di oggi analizza un disagio che uno dei miei clienti ha individuato utilizzando il software eBridge Dichiarativi: buffettiinformatica.it/software/ebdichiarativi.asp

Si tratta di software assolutamente lecito, erroneamente individuato come virus (ed in alcuni casi cancellato automaticamente se le policy lo prevedono) dal client antivirus. Fa utilizzo di moduli che facilitano il lavoro degli utenti generalmente assegnati agli uffici amministrativi. Ne esistono di simili, decine di case produttrici ne rilasciano e aggiornano altrettanti ogni anno. Per evitare disagi sarà necessario escludere dalla scansione real time (e dalle pianificate) la cartella dell'applicativo e/ o l'eseguibile principale. Personalmente consiglio la prima suggerita, escludere solo l'eseguibile principale talvolta non basta perché il client antivirus cancella i moduli ai quali [+]

Leggo e riporto più che volentieri un post che -ancora oggi- tratta la minaccia Conficker, una delle peggiori degli ultimi tempi (fuori di dubbio). Un osso duro, vecchio stampo ma tecnologia tutta nuova per la poca felicità di chi mette mano sulla rete aziendale. L'autore dell'articolo è Cristian Conti, il suo blog è Disordine.com:

Cercare un virus insidioso e veramente stronzo come Conficker in una rete con decine e decine di client può essere una impresa. Un lavoro estenuante e che talvolta sembra riemergere con improvvise fiammate di attacchi. Potrebbe sembrare tardivo questo post, ma parlando con alcuni colleghi ho notato che quello che vado ad illustrarvi non era un sistema conosciuto ai più.Per andare a cercare nella propria [+]

Può capitare di installare il client sophos antivirus su macchine che hanno attivo il servizio di indicizzazione. Tale condizione potrebbe portare alla creazione di n file che a lungo andare possono occupare uno spazio su disco non indifferente, se trascurata la cosa può portare al completo esaurimento dello spazio su disco. Il tutto avviene poichè il servizio di indicizzazione blocca in maniera esclusiva i file temporanei di aggiornamento del client sophos impedendo a quest'ultimo la cancellazione di tali file una volta concluso l'update. La directory in questione è la %windir%\temp\sophos_autoupdate1.dir e per aggiungere un esclusione nel servizio di indicizzazione è sufficente aprire la console di gestione del computer (tasto dx su risorse del computer -> manage o gestione) e posizionarsi sotto servizi e applicazioni -> servizio di indicizzazione -> [+]

Ambiente corporate, solito EndPoint da installare con (diretta conseguenza) un certo numero di macchine client annesse da passare a Sophos Antivirus da precedenti competitor. Rete a "soluzione mista": una parte di questi PC integra una soluzione Symantec EndPoint, i PC portatili montano Panda Antivirus 2009, il CRT provvederà a disinstallare in autonomia entrambi le soluzioni (qualche difficoltà sulla parte Symantec, avrò modo di parlarvene tra qualche giorno). Per entrambi i prodotti ho incontrato alcune difficoltà, ecco quali, potrebbero tornarvi utili: Symantec EndPoint Protection

Mancata disinstallazione del client antivirus, apparentemente nulla di differente dalle altre macchine della stessa sede, nella pratica il CRT falliva nell'arrivare alle chiavi di registro incriminate. La risoluzione? Lanciare a mano (se possibile fisicamente davanti alla macchina, altrimenti da remoto) un batch che permette la rimozione forzata [+]

Sto provando in questi giorni la nuova console 4, parte integrante del nuovo EndPoint da poco rilasciato da Sophos. Tra gli errori che potrebbero capitarvi ne trovate uno particolarmente comune (da quanto ho potuto capire), abbastanza semplice da mettere a tacere, risolvibile tramite documentazione ufficiale, affrontato qui di seguito passo-passo. Si tratta di un errore di "mancata connessione al server di gestione", detto con parole meno generiche: un mancato avvio del servizio di Management Service. Qui di seguito la schermata che potrebbe comparire sul vostro schermo: [caption id="attachment_134" align="aligncenter" width="490" caption="Connessione con il server di gestione non riuscita"][/caption]

Aprendo il gestore dei servizi noterete un fermo proprio su "Sophos Management Service", indispensabile per il corretto avvio della [+]

Qualunque EndPoint installato su macchina server crea una apposita cartella di distribuzione dei file (tipicamente %programfiles%\Sophos Sweep for NT) dalla quale sarà possibile lanciare il setup dell'antivirus, scaricare definizioni aggiornate e modificare le cartelle create dalla libreria della console. Se lo si desidera, si può installare Microsoft IIS (o Apache) per "portare quella cartella su HTTP" e permettere il download dei file direttamente dal browser, quindi dal client antivirus installato su una qualsiasi macchina della rete. Quello che alcuni non sanno e che troppe volte si da per scontato è che IIS impostato di default non permette questo. I file vengono in alcuni casi aperti / visualizzati a video e non scaricati come invece dovrebbe essere. Per risolvere occorre impostare un MIME type che forzi il download, come spiegato in questo documento ufficiale: sophos.com/support/knowledgebase/article/12535.html In [+]

Un veloce post per indicare un problema rilevato con la versione 1.0.6.4 di UltraVNC da poco rilasciata come stabile nel sito web ufficiale ... Pare che un applicativo "interno" utilizzato per modificare il comportamento dei driver video quando ci si connette alla parte Server del programma vada in conflitto con Sophos Antivirus, visto come Suspicious behavior. Il documento ufficiale dell'applicativo è disponibile sul sito web di UltraVNC: uvnc.com/features/driver.html Pare quindi trattarsi di falso positivo rilevato come HIPS/FileMod-005, l'intenzione di installare un driver senza specifica autorizzazione dell'utente: Runtime behavior alerts of this type inform the user that an attempt has been made to install a suspicious-looking system driver. Any attempt at this behavior by an unauthorized program could indicate a malware infection. sophos.com/security/analyses/suspicious-behavior-and-files/hipsfilemod005.html L'applicativo è totalmente innocuo e l'installazione non comporta alcun problema. Potrebbe trovarsi in tre [+]