À savoir : alertes BOPs et HIPS inattendues après l'installation du plugin de sécurité bancaire G-Buster

  • N°Id de l'article : 118656
  • Mis à jour : 17 oct. 2014

Problème

Après avoir installé le plugin Gas Technologia G-Buster (aussi connu sous les noms 'Banco do Brasil G-buster plugin’, ‘Santander G-buster plugin' ou 'Banco Itaú Unibanco Setup' et GPLUGIN), l'ordinateur d'extrémité signale une alerte BOPs lors de l'ouverture d'Internet Explorer et génère par ailleurs une alerte HIPS dans Explorer.exe. Il a également été signalé dans les fichiers exécutables des applications Microsoft Office.

Exemples d'entrée du fichier SAV.TXT :

Le processus "C:\Windows\explorer.exe" montre des signes de comportement suspect 'Dépassement de la mémoire tampon'.

Le processus "C:\Windows\explorer.exe" montre des signes de comportement suspect 'HIPS/ProcInj-002'.

Rencontré pour la première fois dans

Sophos Anti-Virus for Windows 2000+

Cause

Le plugin G-Buster contient un composant qui partage les caractéristiques communes d'une détection du dépassement de la mémoire tampon Ret2LibC. Les alertes HIPS peuvent aussi se déclencher lorsque le plugin charge des "hooks" dans Explorer.exe.

Action à mener

Il se peut que vous receviez un ou deux types d'alertes de détection depuis les ordinateurs d'extrémité.

Si vous recevez une détection BOPs

  • La détection BOPs a été résolu par Gas Technologia. Veuillez contacter votre fournisseur bancaire pour demander une version mise à jour de G-Buster qui résoudra le problème. Il s'agirait de la version 4.0.1.1 ou d'une version supérieure. (le numéro de version peut différer entre les variantes de G-Buster)
  • Si vous ne parvenez pas à vous procurer la dernière version, vous pouvez désactiver 'Détecter les dépassements de mémoire tampon' pour éviter d'autres alertes, ou changer pour 'Alerter uniquement, ne pas bloquer', ce qui vous permettra de recevoir des alertes et qui permettra à l'application affectée de fonctionner normalement.

Si vous recevez une détection HIPS

  • L'alerte HIPS fait toujours en priorité l'objet d'une enquête par les deux parties. En guise de solution immédiate (dans les situations professionnelles critiques seulement), vous pouvez autoriser les processus signalés IExplore,exe et Explorer.exe dans votre console Sophos pour éviter des alertes supplémentaires. 

Remarque : la désactivation des fonctions de protection et l'autorisation des applications doivent être utilisés avec prudence. En effet, l'autorisation des applications empêche que d'autres détections HIPS aient lieu et la désactivation de BOPS ne détectera plus les événements de dépassement de la mémoire tampon sur vos ordinateurs d'extrémité.

Nous vous conseillons fortement de seulement changer les paramètres de stratégie sur les ordinateurs d'extrémité affectés par le problème.

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires