Trend Micro Sicherheitslösungen: Registry-Änderungen nach Fehlalarm (3. Mai 2022) zurücknehmen

Sicherheit (Pexels, allgemeine Nutzung)[English]Am 3. Mai 2022 kam es zu einem Fehlalarm bei der Sicherheitslösungen Trend Micro Apex One sowie Worry Free Business Security, die die Datei msedge_200_percent.pak aus dem Edge 101.0.1210.32 unter Windows als Malware/Trojaner einstufte. Das Problem wurde zwar durch ein Signatur-Update behoben, aber durch den Vorfall gibt es geänderte Registrierungseinträge. Nun liegt auch eine Lösung von Trend Micro vor, auch diese ungewollten Registrierungsänderungen zu korrigieren.


Anzeige

Der Apex One-Fehlalarm

Zum 28. April 2022 hatte Microsoft den Chromium-Edge Browser auf die Version Edge 101.0.1210.32 aktualisiert, um die beiden Schwachstellen CVE-2022-29146 (Privilegienerhöhung) und CVE-2022-29147 (Abrufen von Informationen) zu schließen. Am 3. Mai 2022 häufen sich bei mir im Blog die Rückmeldungen von Administratoren, dass die Trend Micro Sicherheitslösungen Apex One sowie Worry Free Business Security einen falschen Alarm auslöst und vermeintlich einen Trojaner in der Datei msedge_200_percent.pak aus dem Edge 101.0.1210.32 erkennt.

Ich hatte das Ganze im Blog-Beitrag Trend Micro Apex One löst Fehlalarm beim Microsoft Edge 101.0.1210.32 wegen msedge_200_percent.pak aus aufgegriffen. In diesem Beitrag sind auch einige Beschreibungen der Betroffenen zum Fehlalarm zu finden. Trend Micro hatte den Sachverhalt bestätigt und einige Stunden später eine korrigierte Signatur-Datei freigegeben, die den Fehlalarm beseitigte.

Ryan Torio | Customer Service Engineer – Global Technical Support

Apologies for the issue this happened on your side. As an update, our Antimalware Team already released a Smart Scan Pattern 21474.139.09 to revoke these detections.

Please make sure to update your Trend Micro Product to make sure it gets the latest pattern Smart Scan Agent Pattern 17.541.00 to revoke the detection of False Positives.

Die Bestätigung des Vorfalls durch Trend Micro erfolgte im Beitrag CUSTOMER ADVISORY: Trend Micro False Positive Detection Reported with Microsoft Edge (May 2, 2022) – der dort angegebene 2. Mai 2022 ergibt sich aus dem lokalen Datum, in Deutschland war es bereits der 3. Mai 2022, als der Fehlalarm auftrat. Beim Smart Scan Agent Pattern 17.541.00 oder später trat der Fehlalarm auf und wurde erst mit dem Smart Scan Pattern 21474.139.09 oder höher wieder beseitigt.

Geänderte Registrierungseinträge

Problem beseitigt? In diversen Kommentaren erwähnten Betroffene aber, dass durch den Vorfall ungewollt Registrierungseinträge unter Windows verändert wurden.  Peter L. berichtet hier, dass auch der Registrierungseintrag:

HKEY_USERS\$SID\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper

verändert werde. Im Blog-Beitrag Trend Micro Apex One löst Fehlalarm beim Microsoft Edge 101.0.1210.32 wegen msedge_200_percent.pak aus finden sich weitere Hinweise auf einzelne geänderte Registrierungseinträge. Blog-Leser MRa schrieb in diesem Kommentar:

In logs im folgenden Ordner (%Pfad_des_TM_Agents%\report) findet man, wo genau der Agent was geändert hat.

und postete nachfolgenden Auszug aus der Log-Datei mit geänderten Registrierungseinträgen:

–>reboot modify registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoDriveTypeAutoRun") success 
–>reboot modify registry data("HKEY_USERS","S-1-5-21–********-********-********-****\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoDriveTypeAutoRun") success 
–>reboot modify registry data("HKEY_USERS","S-1-5-21–********-********-********-****\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Hidden") success 
–>reboot modify registry data("HKEY_USERS","S-1-5-21-********-********-********-****\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","ShowSuperHidden") success

–>reboot delete registry value("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore","DisableSR") success –>reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\RemoteRegistry","Start") success


Hier stellte sich die Frage, ob Trend Micro dies auch korrigiert, oder ob Administratoren eine manuelle Nacharbeit durchführen müssen.

Manuelle Wiederherstellung der Registrierungseinträge

In der Bestätigung des Vorfalls durch Trend Micro merkt der Hersteller an, dass einige Kunden – in Abhängigkeit von ihren Konfigurationseinstellungen für die Endpunktbereinigung – Änderungen an der Registrierung beobachtet haben. Um diese Änderungen zurückzunehmen, schlägt Trend Micr bei der Apex One folgende Schritte vor.


Anzeige

1. Öffnen Sie auf dem betroffenen Computer eine Eingabeaufforderung mit erweiterten Administratorrechten.

2. Navigieren Sie zum Ordner \Backup auf dem betroffenen Computer, auf dem der Apex One Agent ausgeführt wird (normalerweise C:\Programme (x86)\Trend Micro\Security Agent\Backup).

3.  In dem Ordner sollte sich eine Datei mit dem Namen TSE_GENCLEAN_XXXX_XX_XX_XXX_XXX_XXX.DAT befinden, und notieren Sie sich diesen Namen (wobei XX für Datum und Zeitstempel steht). Beispiel:  TSC_GENCLEAN_2022_05_03_17_54_14_118_035.DAT).

4.  Navigieren Sie zurück zum Agent-Ordner (normalerweise C:\Program Files (x86)\Trend Micro\Security Agent).

5.  Führen Sie den folgenden Befehl aus:
a. 64-Bit-Rechner: tsc64.exe -restore=.\backup\TSC_GENCLEAN_XXXX_XX_XX_XX_XXX_XXX_XXX.DAT
b. 32-Bit-Maschinen: tsc.exe -restore=.\backup\TSC_GENCLEAN_XXXX_XX_XX_XX_XXX_XXX_XXX.DAT

Die hier angegebene Datei;

TSC_GENCLEAN_XX_XX_XX_XX_XX_XXX_XXX_XXX.DAT

ist in obiger Befehlszeichenfolge durch den Namen der Datei, die in Schritt Nummer 3 notiert wurde zu ersetzen. Durch die oben genannten Schritte werden die Änderungen wiederhergestellt, die bei der Ausführung des Schadensbereinigungstools des Agenten vorgenommen wurden, schreibt Trend Micro.

Korrektur-Script für Registrierungseinträge

In größeren Umgebungen sind die obigen manuellen Reparaturschritte nicht durchführbar. Trend Micro hat für diese Umgebungen ein Referenzskript erstellt, um die Wiederherstellungsprozeduren unter Verwendung des oben genannten TSC-Tools auf automatisierte Weise mit GPOs oder anderen ähnlichen Skripting-Tools auf Unternehmensebene bereitzustellen.

Das aktualisierte Referenzskript kann als kennwortgeschütztes ZIP-Archiv von Trend Micro heruntergeladen werden.  Das Kennwort für die Zip-Datei lautet novirus.

Den Kollegen von Bleeping Computer, die ich in einer privaten Meldung auf Twitter informierte, haben diese Registrierungsänderungen zum 7. Mai 2022 samt einer Lösung von Trend Micro aufgegriffen. Administratoren, die dieses Skript als Batch-Datei oder mit einer anderen Methode einsetzen, sollten das Skript vor der Anwendung zunächst sorgfältig prüfen und in ihrer Umgebung testen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Problemlösung, Sicherheit, Virenschutz abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.