zFP-GOOGLE

  • ID dell'articolo: 118377
  • Aggiornato: 17 dic 2012

Problema

Nella console viene visualizzato un avviso di comportamento sospetto "zFP-GOOGLE" riferiti al computer che funge da server di gestione Sophos.  

Si tratta di un allarme straordinario che non indica la presenza di una minaccia nel computer. Segnala invece la presenza di potenziali problemi del software che richiedano immediate risoluzione.

Questo allarme è stato inviato per informare che alcuni prodotti non-Sophos presenti nella rete sono stati coinvolti nel recente problema del falso positivo Sophos. Se tali prodotti non sono stati ancora ripristinati, potrebbero essere obsoleti e quindi soggetti a future vulnerabilità. Abbiamo deciso di inviare un allarme di tipo "comportamento sospetto" per sottolineare come questo problema debba essere trattato con la massima priorità.

Un esempio di avviso viene mostrato qui di seguito:

Nei dettagli relativi al computer del server di gestione vengono, inoltre, visualizzati uno o più avvisi di comportamento sospetto "zFP-" in cui vengono citati i nomi di applicazioni non-Sophos (prodotte da terzi).

Riscontrato per la prima volta in

Nessun prodotto specifico

Causa

Viene inoltrato questo tipo di avviso perché è possibile che applicazioni prodotte da terzi e installate nei computer endpoint Windows non funzionino in modo corretto a causa del recente falso positivo Shh/Updater-B.

Se viene visualizzato questo avviso, le affermazioni qui di seguito devono essere vere:

  • Durante il problema relativo al falso positivo, il criterio anti-virus era impostato sulle azioni di "spostamento" o "cancellazione" dei file che la scansione in accesso identificava come malevoli.
  • Uno o più computer hanno riferito alla console che l'anti-virus locale ha spostato o cancellato file associati ad applicazioni prodotte da terzi.
  • Non sono stati eliminati (rimossi/cancellati) dalla console gli avvisi riguardanti azioni di rimozione o cancellazione.
  • Il computer che riporta le azioni di spostamento o cancellazione esegue un sistema operativo Windows.

Nota: sebbene siano già state ripristinate alcune applicazioni, potrebbero essercene altre che richiedono il ripristino, ma di cui non si è al corrente.

Controllo delle impostazioni anti-virus

Procedura

Segue una panoramica dei passaggi richiesti:

  1. Eseguire un file batch per generare un elenco dei computer in cui sono stati rilevati allarmi (non eliminati) relativi a eventuali applicazioni colpite.
  2. Ripristinare tutte le applicazioni i cui file sono stati spostati, come descritto al passaggio 2.
  3. Nel caso i file siano stati invece cancellati, ripristinare le applicazioni coinvolte come descritto nella sezione 3.

1. Identificazione dei computer colpiti

Eseguire un file batch che crea un file in formato di testo elencante i computer in cui potrebbero essere presenti applicazioni non-Sophos colpite dal falso positivi "shh/Updater-B".

Aprire questo articolo nel server di gestione, oppure nel server in cui è ospitata l'istanza di Sophos SQL Server, ed eseguire i passaggi dall'uno al quattro riportati qui di seguito.

  1. Cliccare col tasto destro del mouse su questo link: fpdf.bat, selezionare "Salva collegamento" o "salva oggetto" e salvare il file nel Desktop del server.
  2. Aprire un prompt dei comandi (Start | Esegui | digitare: cmd.exe | premere Invio) e sostituire la directory (cd) col Desktop del server:
  3. Digitare il comando riportato qui di seguito per eseguire il file batch e creare un file di output in formato di testo:

    fpdf.bat > FpActionedFiles.txt

    Una volta portato a termine tale comando, nel Desktop del server verrà visualizzato un nuovo file in formato di test denominato "FpActionedFiles.txt".
  4. Aprire il file "FpActionFiles.txt" per visualizzare i file spostati o cancellati dai computer colpiti.

    Se non viene visualizzato alcun elenco di computer, è possibile che il file sia stato eseguito nel computer sbagliato.  Utilizzare l'articolo 113030 per confermare che si tratti del computer con il server SQL installato e che ospita il database principale di Sophos.

Si avrà ora a disposizione un file di testo denominato "FpActionFiles.txt" in cui sono elencati i computer colpiti.  Utilizzare questo elenco al passaggio 2 e, se richiesto, al passaggio 3.

2. Risolvere le applicazioni per cui alcuni file sono stati spostati

Per ripristinare le applicazioni non-Sophos nei computer endpoint eseguire i passaggi dall'uno al tre riportati qui di seguito.

È necessario ripetere questi passaggi localmente in tutti i computer endpoint citati nel file "FpActionFiles.txt".  Potrebbe essere quindi utile copiare il tool e le relative istruzioni in una chiavetta USB (o dispositivi simili) da utilizzare in tutte le workstation.  Nel caso il numero di computer colpiti sia molto elevato, consultare i link a ulteriori articoli che descrivono come eseguire la distribuzione del tool nella rete.

Nota: eseguire il tool con diritti di amministrazione.

  1. Cliccare col tasto destro del mouse su questo link: FixIssues.exe, selezionare "Salva collegamento" o "Salva oggetto" e salvare il file nel Desktop del computer.
  2. Cliccare due volte sul tool per eseguirlo.
  3. Verificare che le applicazioni siano ora funzionanti.  Nel caso si verifichino problemi, controllare i file di log del tool "FixIssues",  salvati nella cartella locale temporanea dell'utente che esegue il tool.  Per potervi accedere, individuare i file di log:
    1. Aprire la cartella locale temporanea dell'utente che ha eseguito l'accesso (Start | Esegui | digitare: %temp% | premere Invio).
    2. Nell'editor di testo aprire il file di log principale del tool: Sophos Fix Script log.txt
    3. Si consiglia inoltre di verificare il file: Sophos Fix Log_[TIMESTAMP].txt

Nel caso lo si ritenga necessario, contattare il supporto tecnico di Sophos e inviare questi log per consentire di risolvere eventuali problemi il più rapidamente possibile.

Se le impostazioni di disinfezione del software antivirus non hanno portato alla cancellazione di alcun file (v. la sezione "Controllo delle impostazioni anti-virus"), non è richiesta l'esecuzione di nessun altra procedura di ripristino.

Consiglio: i seguenti articoli sono stati redatti per illustrare i diversi metodi di distribuzione del tool nella rete:

  • Enterprise Console, consultare l'articolo 118351
  • Per informazioni su PsExec, consultare l'articolo 118337
  • Per informazioni sui criteri di gruppo di Active Directory (GPO), consultare l'articolo 118338

Cosa fare nel caso le applicazioni prodotte da terzi siano ancora compromesse

Se alcune applicazioni prodotte da terzi non funzionano ancora in modo corretto, nonostante siano state eseguite le istruzioni riportate qui sopra, è possibile che tali applicazioni non siano incluse nel database.  Il file "FpActionFiles.txt" non rappresenta, quindi, un elenco completo dei computer colpiti.

In questo caso, si consiglia l'esecuzione del tool "FixIssues.exe" nei computer endpoint.  Nella sezione qui di seguito vengono presentati diversi metodi di distribuzione.

3. Ripristinare le applicazioni Google per cui alcuni file sono stati cancellati

È necessario leggere questa sezione, se le impostazioni di disinfezione del software antivirus prevedevano la cancellazione dei file. Se non lo si è ancora fatto, nel caso di dubbi vedere il video alla sezione "Controllo delle impostazioni anti-virus".

Se le impostazioni del software antivirus prevedevano la cancellazione dei file, utilizzare i link qui di seguito per istruzioni sul ripristino di ciascuna specifica applicazione.

Nota: se è già stato utilizzato il tool "FixIssues" di Sophos, tutti i file spostati dovrebbero essere ora ripristinati. È necessario eseguire queste istruzioni, se le impostazioni di disinfezione del software antivirus prevedevano la cancellazione dei file.

Applicazione Google Chrome e Google Updater
Vendor Google
Impatto
  • La maggior parte dei file associati al software Google Update sono stati colpiti dal problema, inclusi i file:
    • %Program Files%\Google\Update\GoogleUpdate.exe
    • %Program Files%\Google\Update\<numero versione>\<tutti i file (65 file)>
  • Google Update viene utilizzato per l'aggiornamento di svariati prodotti (compresi Chrome e Google Earth), per questo motivo potrebbero essere molti i prodotti colpiti. Per un elenco completo dei prodotti che utilizzano Google Update, cliccare su questo link http://support.google.com/installer/bin/answer.py?hl=en&answer=146158.
  • Molti file potrebbero essere legati a diverse versioni di Google Update, ma dovrebbe essere sufficiente eseguire il ripristino di quella più recente.
  • Il browser Chrome continuerà a funzionare senza visualizzare alcun avviso. Nonostante ciò, tutte le funzioni di aggiornamento saranno compromesse, inclusa la verifica della disponibilità di aggiornamenti.
  • Se il componente di aggiornamento è stato compromesso, nel browser selezionando l'opzione "Informazioni su Google Chrome" e verrà visualizzato il seguente avviso:
    • "Server di aggiornamento non disponibile - errore 3; potrebbe venire visualizzato un errore quando si cerca di controllare se ci sono aggiornamenti disponibili: Impossibile avviare il controllo degli aggiornamenti (codice di errore 3: 0x80070002 - livello di sistema)"
Risoluzione
  • Utilizzare il programma di installazione di Chrome per reinstallare Chrome. Questa operazione consentirà il ripristino dei file cancellati dal software Google Update.
  • Il programma di installazione on-line è disponibile cliccando sul link www.google.com/chrome È altrimenti possibile eseguire il download del programma di installazione autonomo per tutti gli utenti "ChromeStandaloneSetup.exe" cliccando su questo link http://www.google.com/chrome/eula.html?system=true&standalone=1, oppure scaricare il file "msi" del programma di installazione cliccando qui https://www.google.com/intl/en/chrome/business/browser.
  • Se viene visualizzato il messaggio "Installazione non riuscita. Errore nell'avvio dell'installer di Google Chrome". Cliccare sui link forniti da Google per risolvere il problema e inclusi nella stessa finestra.
  • Per eseguire nuovamente l'installazione in modalità invisibile (o automatica), utilizzare il programma di installazione autonoma con il comando "ChromeStandaloneSetup.exe /silent /install" o il file "msi" di installazione con il comando "msiexec /q /f <percorso di file msi chrome>". Quando si utilizza il file "msi", deve essere della stessa versione di Chrome installato.
  • "Programmi e funzionalità" o "Installazione applicazioni" non forniscono un'opzione di ripristino.
Verificato Verificato per questa versione
  • Google Chrome versione 22.0.1229
In esecuzione in questi sistemi operativi: 
  • Windows XP Professional SP3
  • Windows 7 Professional SP1
  • Windows 7 Enterprise SP1 (64 bit)

Ulteriori informazioni

Gli altri avvisi che potrebbero essere presenti nella console sono:

zFP-ADOBE zFP-OTHER zFP-ORACLE zFP-SMARTTECHNOLOGIES
zFP-APPLE zFP-MOZILLA zFP-REALNETWORKS  

Se si continuano a riscontrare problemi o i passaggi sopra descritti non portano al ripristino dell'applicazione, ulteriore supporto può essere reperibile in questo thread di SophosTalk: Shh/Updater-B: ripristino di applicazioni prodotte da terzi.

 
Per maggiori informazioni o per assistenza, vi preghiamo di contattare il supporto tecnico.

Valutate l'articolo

Molto scadente Eccellente

Commenti