[English]Kurzer Hinweis für Administratoren und Nutzer die das Produkt Trend Micro Apex One einsetzen und gleichzeitig den Microsoft Edge als Browser unter Windows einsetzen. Mir liegen jetzt zahlreiche Berichte im Blog vor, dass Trend Micro Apex One die Datei msedge_200_percent.pak aus dem Edge 101.0.1210.32 als Malware/Trojaner einstuft. Das ist ein Fehlalarm. Ergänzung: Ein Update, welches den Fehler korrigiert, ist inzwischen veröffentlicht.
Anzeige
Microsoft Edge 101.0.1210.32
Microsoft hat zum 28. April 2022 den Chromium-Edge Browser auf die Version Edge 101.0.1210.32 aktualisiert. Es handelt sich um ein Wartungsupdate, das die beiden Schwachstellen CVE-2022-29146 (Privilegienerhöhung) und CVE-2022-29147 (Abrufen von Informationen) schließt (siehe auch die Release Notes-Seite zur neuen Version). Zudem wurden eine Reihe CVEs, die bereits im Google Chrome gefixt wurden, auch im Edge-Update berücksichtigt. Ich hatte im Blog-Beitrag Microsoft Edge 101.0.1210.32 Sicherheitsupdate darüber berichtet.
Trend Micro Apex One schlägt Alarm
Seit dem heutigen 3. Mai 2022 häufen sich bei mir im Blog die Rückmeldungen von Administratoren, bei denen die Trend Micro Sicherheitslösung Apex One einen falschen Alarm auslöst und vermeintlich einen Trojaner erkennt. Der erste Kommentar hier beschreibt den Sachverhalt:
Das Update führt beim Trend Micro Apex One zu einem "false positive"!
Alle unsere Client-Agenten schlagen gerade Alarm beim automatischen Update und verweisen auf folgende Datei:
C:\Program Files (x86)\Microsoft\Edge\Application1.0.1210.32\msedge_200_percent.pakVirus/Malware: TROJ_FRS.VSNTE222
Virus/Malware: TSC_GENCLEANWir analysieren derzeit den Vorfall und können daher noch keine genaue Auskunft dazu geben.
Das Ganze wird von weiteren Administratoren bestätigt. Die Datei msedge_200_percent.pak aus dem Edge 101.0.1210.32 wird als
"TROJ_FRS.VSNTE222" klassifiziert. Kommentator Thomas hat die Datei bei Virustotal hochgeladen. Dort erkennt nur Trend Micro diese als Virus. Ergänzung: Es gibt auch eine Meldung zum englischsprachigen Blog-Beitrag, dass TROJ_FR.654AC47C und TROJ_FRS.VSNTE222 gemeldet werden. Noch merkwürdiger: Peter L. berichtet hier, dass auch der Registrierungseintrag:
HKEY_USERS$SID\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper
verändert werde. Nach allem, was bisher bekannt ist, dürfte es sich um ein false positive handeln.
Ergänzung: Auf administrator.de werden die Fund ebenfalls gemeldet. Zudem scheinen auch weitere Trend Micro Virenschutzlösungen wie Worry Free Business die gleichen Fehlalarme auszulösen (vergleiche auch die nachfolgenden Kommentare).
Foreneintrag bei Trend Micro
Ergänzung: Seit einigen Minuten gibt es bei Trend Micro im Forum auch diesen Thread, in dem ein Benutzer ebenfalls diesen Fehlalarm im Edge beklagt.
we are getting this message from every client since several minutes.
Is it a false positiv error or do we have a real trojaner problem ?Virus/Malware: TROJ_FRS.VSNTE222
Endpoint: W10NBSV066
Domain: xxxxx\Workstations\Group5\
File: C:\Program Files (x86)\Microsoft\Edge\Application\101.0.1210.32\msedge_200_percent.pak
Date/Time: 5/3/2022 11:17:51
Result: Action required – Apex One detect
Auch dort wird das Ganze von zahlreichen Nutzern bestätigt. Dort hat sich ein Nuter gemeldet und bestätigt, dass das Malware-Team über den False Alarm informiert sei und an einem Update arbeite.
Hi Team,
Our Malware Team are already aware of these False Alarms and is currently checking the issue. Will provide an update once we receive new feedbacks.
Best regards,
Paulo Obrero
Customer Service Engineer
Trend Micro Inc.
Bleibt nur abzuwarten, bis das Update kommt – und in der Zwischenzeit die betreffende Datei als Ausnahme zu deklarieren.
Anzeige
Ergänzung 2: Das Problem der geänderten Registrierungseinstellungen wurde durch Trend Micro in einem Supportbeitrag aufgegriffen – siehe mein Folgebeitrag Trend Micro Sicherheitslösungen: Registry-Änderungen nach Fehlalarm (3. Mai 2022) zurücknehmen.
2015
Bei uns wird zusätzlich zur Datei auf folgende Registry Pfad gemeldet: HKEY_USERS\S-1-5-21-SIDxxxx\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl
Aktuell lasse ich das Anti Threat Toolkit laufen und erstelle ein Ticket bei TrendMicro: https://success.trendmicro.com/dcx/s/solution/1059565-using-the-trend-micro-anti-threat-toolkit-to-analyze-malware-issues-and-clean-infections?language=en_US
Bei uns noch ein paar mehr: DisableBackgroundChange, DisableTaskMgr usw.
"Trend Micro Worry Free Business Security" schlägt auch darauf an, nicht nur "Apex One". Scheint also ein generelles Problem in Trend Micro Virendefinitionen zu sein.
"TROJ_FRS.VSNTE222" und/oder "TROJ_FR.654AC47C" in "C:\Program Files (x86)\Microsoft\Edge\Application\101.0.1210.32\msedge_200_percent.pak"
Ja, das kann ich bestätigen, bei unseren Kundensystemen mit TM WF schlägt es leider auch überall an … Kunden sind recht nervös, weil das irgendwo im Internet was von Malware steht.
Das kann ich genau so bestätigen
Hier auch!
WFBS 10 SP1 Meldet:
– TROJ_FRS.VSNTE222
– TROJ_FR.654AC47C
In:
C:\Program Files (x86)\Microsoft\Edge\Application\101.0.1210.32\msedge_200_percent.pak
Muss aber gestehen, dass ich den letzten Patch (2401) von letzter Woche noch nicht drin habe.
Bei uns tritt dieser False-Positive auch auf und zwar unter Trend Micro Worry-Free.
Das Problem wurde von TrendMicro mit dem IntelliTrap Exception Pattern : 1.919.00 gefixt. Ein manuelles Update hat den aktualisierten Pattern bei uns installiert.
danke für die Ergänzung – hatte die Info auch gerade. auf FB in einer Gruppe bekommen, schaffte aber die Übernahme per Copy & passt am Handy nicht. Oder das Smart SCA Partnern 21474.139.09 alles Korrektur sollte auch tun
Reg-Keys die es bei uns getroffen hat:
HKEY_USERS\S-1-5-21-[…]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
HKEY_USERS\S-1-5-21-[…]\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR
Neben dem bereits genannten Pfad, wird bei uns die gleiche Datei noch unter folgendem Pfad erkannt: C:\Program Files (x86)\Microsoft\EdgeWebView\Application\101.0.1210.32\msedge_200_percent.pak
Trend Micro Worry Free Services erkennt ebenfalls die Edge-Webkit-Daten als: TROJ_FRS.VSNTE222 und TROJ_FR.654AC47C
Wir haben außerdem noch einen weiteren Registry-Pfad mit den selben Erkennungen:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\
Kann ich bestätigen (Trend Micro Worry-Free Business Security)
Jemand ne idee wie man die Reg-Key's (GPO-Einstellungen) bei den Clients bei denen Trendmicro noch nichts kaputt gemacht hat, beschützt bekommt? Irgendwie über die zentrale Konfigurationslösung von ApexOne? Hab dort nichts passendes gefunden, außer kompletten Echtzeitschutz auszuschalten.
Also, hier das gleiche, ab kurz vor 11:30 Uhr. Trend Micro Apex One, aber erst mit aktuellen Signaturen, kann das ein?
Welche Wirkung hat das Ganze auf Edge und System? Schon jemand negative Auswirkungen festgestellt, wenn Trend den Edge "aufräumt"?
Mittlerweile ist ein Update draußen, auf die Smart Scanpattern Version 17.541.00.
"Ryan Torio | Customer Service Engineer
Global Technical Support
Apologies for the issue this happened on your side. As an update, our Antimalware Team already released a
Smart Scan Pattern 21474.139.09 to revoke these detections.
Please make sure to update your Trend Micro Product to make sure it gets the
latest pattern Smart Scan Agent Pattern 17.541.00 to revoke the detection of False Positives. "
Use KI to detect malware, they said.
It will be fun, they said.
In logs im folgenden Ordner (%Pfad_des_TM_Agents%\report) findet man, wo genau der Agent was geändert hat.
Bei uns im Unternehmen wurden unter anderem die versteckten Dateien im Explorer angezeigt.
Im Log sehe ich auch noch andere Änderungen. Echte Grütze!
–>reboot modify registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoDriveTypeAutoRun") success
–>reboot modify registry data("HKEY_USERS","S-1-5-21–********-********-********-****\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoDriveTypeAutoRun") success
–>reboot modify registry data("HKEY_USERS","S-1-5-21–********-********-********-****\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Hidden") success
–>reboot modify registry data("HKEY_USERS","S-1-5-21-********-********-********-****\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","ShowSuperHidden") success
–>reboot delete registry value("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore","DisableSR") success
–>reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\RemoteRegistry","Start") success
Ist eigentlich klar, warum der TM Agent überhaupt an der Registrierung herumfummeln musste?
Ich sehe keinen Zusammenhang.
Aber die selben Trojaner-Kennungen, mit der die Edge-Dateien als Malware "erkannt" wurden, tauchten bei uns auch bei einem reg-key auf.
Und in den Cleanup-Activities hat der Agent dann offensichtlich einfach diese Registry-Werte verändert.
Ich mutmaße folgendes: Die echten Trojaner, die der Agent meinte identifiziert zu haben, ändern unter anderem diese Einträge in der Registry. Und Trendmicro stellt dann bei den Werten die Windows defaults wieder her (wir verteilen per GPO hier abweichende Werte), und blendet zusätzlich im Explorer alle hidden und super-hidden files ein.
Kling logisch – danke.