jueves, 22 de abril de 2010

Actualización de McAfee provoca un falso positivo sobre un proceso del sistema

Hoy no está siendo un día fácil para muchos administradores. A las 14:00 horas GMT del 21 de abril, McAfee liberó un nuevo fichero DAT de actualización de firmas, el 5958. Dicho fichero contiene información que el motor del antivirus usa para la detección de amenazas, sin embargo su instalación ha provocado que cientos de miles de sistemas se quedaran inutilizados.

El DAT 5958 contiene una firma que le indica al antivirus de McAfee que ponga en cuarentena al proceso "svchost.exe" de los sistemas operativos Windows XP SP3, al confundirlo con el virus W32/Wecorl.a.

Esta acción provoca que cuando se reinicie el equipo éste entre en un bucle de reinicios consecutivos y vuelva a la máquina inoperable. Esta situación se agrava en entornos empresariales donde las actualizaciones se realizan en masa, a través de la herramienta "ePolicyOrchestrator", dejando redes de máquinas eventualmente fuera de juego.

El tráfico de mensajes ha llegado a ser tan elevado, que los administradores del foro de soporte de McAfee se han visto obligado a cerrarlo durante algunas horas. La compañía ha reaccionado rápidamente, retirando la infame actualización y sustituyéndola por la 5959.

McAfee ha publicado una herramienta para ayudar en la recuperación de los sistemas afectados denominada "SuperDAT". En el blog oficial, Barry McPherson (vicepresidente ejecutivo de McAfee), se lamenta y disculpa del error cometido por la compañía.

Este tipo de errores, relativamente habituales, provocan verdaderos quebraderos de cabeza a los administradores debido a la rapidez e instantaneidad con la que surgen y se propagan.

Casi todas las casas han tenido y temido este tipo de errores y el impacto que producen sobre su reputación. Recordemos algunos incidentes que afectaron masivamente a sus usuarios.

Marzo de 2010, BitDefender marca falsos positivos sobre varios archivos del sistema en Windows Vista.

Julio de 2009, CA detecta archivos del sistema (Windows XP) como "Win32/AMalum.ZZQIA".

Diciembre de 2009, Avast confundía archivos legítimos con "Win32:Delf-MZG".

Noviembre de 2008, AVG detectaba la dll "user32" como un troyano y recomendaba su eliminación.

Octubre de 2008, McAfee marca como troyano al ejecutable de la consola IME en Windows Vista.

Diciembre de 2007, Kaspersky emite un falso positivo sobre el explorador de Windows.

Mayo de 2007, Symantec provoca falsos positivos en los archivos "netapi32.dll" y "lsasrv.dll" confundiéndolos con el troyano "Backdoor.Haxdoo" en Windows XP SP2 con el idioma Chino simplificado.


David García
dgarcia@hispasec.com


Más información:

False positive detection of w32/wecorl.a in 5958 DAT
https://kc.mcafee.com/corporate/index?page=content&id=KB68780

A Long Day at McAfee
http://siblog.mcafee.com/support/a-long-day-at-mcafee

No hay comentarios:

Publicar un comentario en la entrada