lunes, 25 de abril de 2005

Actualización de TrendMicro bloquea los sistemas de sus clientes

Una actualización del patrón de firmas de TrendMicro causó que
sistemas que utilizan su antivirus se bloquearan por completo. En
un primer momento muchos administradores de sistemas creyeron que
se trataba de algún tipo de virus que estaba afectando a sus redes.

La voz de alarma comenzó en foros y listas de correos. Administradores
de sistemas contaban como muchas estaciones de trabajo de sus redes
corporativas se encontraban totalmente bloqueadas, con un consumo de
CPU al 100% que impedía trabajar con ellas.

Tras unos primeros momentos de confusión, donde se especulaba sobre
un posible nuevo virus o gusano, al final se logró encontrar un punto
en común. Todos los sistemas afectados utilizaban un motor antivirus
de TrendMicro.

En efecto el problema había sido ocasionado por la actualización del
patrón de firmas 594 publicado por TrendMicro el pasado viernes
22 de abril. La compañía antivirus asegura que dicha actualización
fue retirada en apenas 1 hora y media tras ser publicada y
reemplazada de inmediato por un nuevo patrón de firmas que corregía
el problema. Sin embargo la solución no fue automática.

En muchos casos los sistemas bloqueados tenían tal consumo de recursos
que impedía al propio sistema de actualización de TrendMicro que
descargara e instalara el nuevo patrón de firmas que corregía el
problema. Por ello se hizo necesario una actuación manual que pasaba
por iniciar Windows en modo seguro, borrar el archivo de actualización
594, reiniciar el sistema, y asegurarse de que se actualizaba con el
patrón de firmas 596 o superior.

Si bien en los foros se comentó que el bloqueo afectaba tanto a
sistemas Windows 2000 como Windows XP y a diversos productos de Trend,
en el sitio de soporte de TrendMicro se documenta que los problemas se
localizaron en sus productos PC-cillin Internet Security 2005 y
OfficeScan Corporate Edition (OSCE) instalados en sistemas Windows XP
con SP2.

Sobra recodar que los laboratorios antivirus deben poner especial
énfasis en dotar de estrictos controles de calidad a las
actualizaciones antes de ser publicadas, para asegurar su
compatibilidad y buen funcionamiento en diferentes configuraciones.
De lo contrario la solución puede convertirse en el problema, como
ha ocurrido en este caso.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Windows XP Service Pack 2 machines with critical patches and
PC-cillin Internet Security 2005 starts to experience high CPU
utilization after updating to Pattern 594
http://kb.trendmicro.com/solutions/search/main/search/solutionDetail.asp?solutionId=24264

Windows XP Service Pack 2 machines with critical patches and
OfficeScan Corporate Edition (OSCE) starts to experience high CPU
utilization after updating to Pattern 594
http://kb.trendmicro.com/solutions/search/main/search/solutionDetail.asp?solutionId=24263