Hinweis: Unerwartete BOPS- und HIPS-Alerts nach Installation des Online Banking-Sicherheitsplugins G-Buster

  • Artikel-ID: 118656
  • Aktualisiert: 28 Feb 2013

Problem

Nach Installation des Gas Technologia G-Buster Plugins (auch bekannt unter der Bezeichnung "Banco do Brasil G-Buster Plugin", "Santander G-Buster Plugin" oder "Banco Itaú Unibanco Setup" und GPLUGIN) meldet der Endpoint beim Öffnen von Internet Explorer einen BOPS-Alert und generiert ferner einen HIPS-Alert in Explorer.exe. Der gleiche Vorgang konnte auch in ausführbaren Dateien von Microsoft Office-Anwendungen beobachtet werden.

Beispiel SAV.TXT-Eintrag:

Prozess "C:\Windows\explorer.exe" weist verdächtiges Verhaltensmuster 'Pufferüberlauf' auf.

Prozess "C:\Windows\explorer.exe" weist verdächtiges Verhaltensmuster 'HIPS/ProcInj-002' auf.

Festgestellt in Version

Sophos Anti-Virus for Windows 2000+

Ursache

Das G-Buster Plugin weist eine Komponente auf, die über die gleichen allgemeinen Eigenschaften verfügt, wie eine Ret2LibC-Pufferüberlauf-Erkennung. Ein HIPS-Alert kann auch auftreten, wenn beim Laden des Plugins eine Verbindung zum Prozess "Explorer.exe" hergestellt wird.

Vorgehensweise

Sie können entweder eine oder beide Erkennungsalert-Arten von Endpoints erhalten.

Wenn Sie eine BOPS-Erkennung erhalten

  • Das Problem der BOPS-Erkennung wurde von Gas Technologia behoben. Bitte fordern Sie bei Ihrem Online Banking-Anbieter eine aktualisierte Version von G-Buster an, in der das beschriebene Problem nicht mehr auftritt. Aktuelle Versionen sind unserem Kenntnisstand nach derzeit Version 4.0.1.1 und höher (die Versionsnummer kann je nach G-Buster-Variante ggf. abweichen).
  • Wenn Sie keine aktuelle Version beziehen können, besteht auch die Möglichkeit, weitere Alerts durch Deaktivieren der Option "Erkennung von Pufferüberläufen" zu unterdrücken oder zu "Nur melden, nicht blockieren" zu wechseln. Bei letzterer Option erhalten Sie weiterhin Alerts und die betroffene Anwendung kann normal ausgeführt werden.

Wenn Sie eine HIPS-Erkennung erhalten

  • Der HIPS-Alert wird von beiden Parteien derzeit mit Priorität untersucht. Um das Problem sofort provisorisch zu beheben (nur in unternehmenskritischen Situationen), können Sie die gemeldeten Prozesse "IExplore.exe" und "Explorer.exe" in Ihrer Sophos Console zulassen und so weitere Alerts unterbinden. 

Hinweis: Ein Deaktivieren von Schutzfunktionen und eine Autorisierung von Anwendungen sollte stets mit Bedacht vorgenommen werden, da beim Zulassen von Anwendungen keine HIPS-Erkennung mehr stattfindet und bei einer Deaktivierung von BOPS Pufferüberlauf-Ereignisse auf Ihren Endpoints nicht mehr erkannt werden.

Wir empfehlen Ihnen ausdrücklich, die Richtlinieneinstellungen nur auf Endpoints zu ändern, die von dem Problem betroffen sind.

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen