Note, 4.0.70 and 4.1.40 engines are unsupported engines. 4.1.60 is needed today. If you encounter this, you are to upgrade to 4.1.60. -----Original Message----- From: Wanja Eric Naef [IWS] [mailto:w.naef@private] Sent: Tuesday, October 22, 2002 3:59 PM To: crime@private Subject: CRIME IN02-008 McAfee Anti-virus Generating false W32/Insane reports FYI ------------------------------------------------------------------------ 'Information is the currency of victory on the battlefield.' GEN Gordon Sullivan, CSA (1993) ------------------------------------------------------------------------ Wanja Eric Naef Principal Researcher IWS - The Information Warfare Site http://www.iwar.org.uk ------------------------------------------------------------------------ Join the IWS Infocon Mailing List @ http://www.iwar.org.uk/general/mailinglist.htm ------------------------------------------------------------------------ -----Original Message----- From: Opscen (OCIPEP / GEOCC) [mailto:Opscen@ocipep-bpiepc.gc.ca] Sent: 22 October 2002 23:07 To: OCIPEP EXTERNAL DISTRIBUTION LISTS Subject: IN02-008 McAfee Anti-virus Generating false W32/Insane reports La version française suit THE OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY PREPAREDNESS ************************ INFORMATION NOTE ************************ Number: IN02-008 Date: 22 October 2002 ***************************** McAfee Anti-virus Generating false W32/Insane reports ***************************** PURPOSE OCIPEP received a report about McAfee anti-virus software generating reports of false W32/Insane infections. ASSESSMENT The false detections occur when using the 4229 DAT files and engine versions 4.0.70, and 4.1.40. SUGGESTED ACTION NOTE: It is possible that some of the infections could be valid. Administrators should first ensure that they have updated their engine and performed a re-scan of the system. Details on how to fix the problem can be found on the McAfee site at: http://vil.nai.com/vil/content/v_99753.htm If you've quarantined the files, they will have to be put back in their original locations. If you've deleted them, they will have to be restored from backup or install CDROMs. CONTACT US For urgent matters or to report any incidents, please contact OCIPEP's Emergency Operations Centre at: Phone: (613) 991-7000 Fax: (613) 996-0995 Secure Fax: (613) 991-7094 Email: opscen@ocipep-bpiepc.gc.ca For general information, please contact OCIPEP's Communications Division at: Phone: (613) 944-4875 or 1-800-830-3118 Fax: (613) 998-9589 Email: communications@ocipep-bpiepc.gc.ca Web Site: www.ocipep-bpiepc.gc.ca NOTICE TO READERS OCIPEP Information Notes are used to draw attention to information relating to significant threats and vulnerabilities. Information Notes may contain information not readily available in the public domain. The information in this OCIPEP Information Note has been drawn from a variety of external sources. Although OCIPEP makes every effort to ensure the accuracy, currency and reliability of the content, OCIPEP does not offer any guarantee in that regard. Unauthorized use of computer systems and mischief in relation to data are serious Criminal Code offences in Canada. Upon conviction of an indictable offence, an individual is liable to imprisonment for a term not to exceed ten years. Any suspected criminal activity should be reported to local law enforcement organizations. The RCMP National Operations Centre (NOC) provides a 24/7 service to receive such reports or to redirect callers to local law enforcement organizations. The NOC can be reached at (613) 993-4460. National security concerns should be reported to the Canadian Security Intelligence Service (CSIS). ================================================== LE BUREAU DE LA PROTECTION DES INFRASTRUCTURES ESSENTIELLES ET DE LA PROTECTION CIVILE ************************ NOTE D'INFORMATION ************************ Numéro: IN02-008 Date: 22 octobre 2002 ***************************** Le logiciel antivirus McAfee produit de faux rapports du virus W32/Insane ***************************** BUT Le BPIEPC a reçu un rapport selon lequel le logiciel antivirus McAfee produit de faux rapports d'infection par le virus W32/Insane. ÉVALUATION Les fausses détections surviennent lorsqu'on utilise les versions 4.0.70 et 4.1.40 des fichiers et les moteurs 4229 DAT. MESURE PROPOSÉE NOTA : Il est possible que certaines des infections soient réelles. Les administrateurs devraient d'abord s'assurer que leur engin a été mis à jour et qu'ils ont vérifié le système une nouvelle fois. On peut trouver les détails sur la façon de régler le problème sur le site de McAfee à : http://vil.nai.com/vil/content/v_99753.htm Si vous avez mis les fichiers en quarantaine, il faudra les remettre à leur place d'origine. Si vous les avez supprimés, il vous faudra les rétablir à partir de fichiers de sauvegarde ou des CD-ROM d'origine. COMMENT COMMUNIQUER AVEC NOUS En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations d'urgence du BPIEPC au : Téléphone : (613) 991-7000 Télécopieur : (613) 996-0995 Télécopieur sécuritaire : (613) 991-7094 Courriel : opscen@bpiepc-ocipep.gc.ca Pour obtenir des renseignements généraux, veuillez communiquer avec la Division des communications du BPIEPC au : Téléphone : (613) 944-4875 ou 1-800-830-3118 Télécopieur : (613) 998-9589 Courriel : communications@bpiepc-ocipep.gc.ca Site Web : www.bpiepc-ocipep.gc.ca AVIS AUX DESTINATAIRES Les notes d'information émises par le BPIEPC visent à signaler aux destinataires des renseignements à l'égard de menaces et de vulnérabilités importantes. Les notes d'information peuvent contenir des renseignements et des analyses non disponibles dans le domaine public. Les renseignements présentés dans les notes d'information du BPIEPC sont tirés d'un éventail de sources. Bien que le BPIEPC déploie tous les efforts raisonnables afin de s'assurer de l'exactitude, de l'actualité et de la fiabilité du contenu des notes d'information, il ne peut offrir aucune garantie à cet égard. L'utilisation non autorisée des systèmes informatiques et les dommages relatifs aux données constituent une faute grave au Code criminel canadien. Si une personne est trouvée coupable d'une telle faute, elle est passible d'emprisonnement pour une période n'excédant pas dix ans. Toute activité criminelle présumée doit être signalée immédiatement à un organisme d'application de la loi local. Le Centre national des opérations (CNO) de la GRC est disponible tous les jours, 24 heures sur 24, pour recevoir de tels rapports ou pour réacheminer les appels aux organismes locaux d'application de la loi. Vous pouvez rejoindre le CNO au (613) 993-4460. Les préoccupations portant sur la sécurité nationale doivent être signalées au Service canadien du renseignement de sécurité (SCRS).
This archive was generated by hypermail 2b30 : Tue Oct 22 2002 - 16:53:57 PDT