Artículo de Hispasec sobre el falso positivo de los DAT 5958 de McAfee
Vemos en “Una al día” de Hispasec este artículo:
Actualización de McAfee provoca un falso positivo sobre un proceso del sistema
Hoy no está siendo un día fácil para muchos administradores. A las 14:00 horas GMT del 21 de abril, McAfee liberó un nuevo fichero DAT de actualización de firmas, el 5958. Dicho fichero contiene información que el motor del antivirus usa para la detección de amenazas, sin embargo su instalación ha provocado que cientos de miles de sistemas se quedaran inutilizados.
El DAT 5958 contiene una firma que le indica al antivirus de McAfee que ponga en cuarentena al proceso “svchost.exe” de los sistemas operativos Windows XP SP3, al confundirlo con el virus W32/Wecorl.a.
Esta acción provoca que cuando se reinicie el equipo éste entre en un bucle de reinicios consecutivos y vuelva a la máquina inoperable. Esta situación se agrava en entornos empresariales donde las actualizaciones se realizan en masa, a través de la herramienta “ePolicyOrchestrator”, dejando redes de máquinas eventualmente fuera de juego.
El tráfico de mensajes ha llegado a ser tan elevado, que los administradores del foro de soporte de McAfee se han visto obligado a cerrarlo durante algunas horas. La compañía ha reaccionado rápidamente, retirando la infame actualización y sustituyéndola por la 5959.
McAfee ha publicado una herramienta para ayudar en la recuperación de los sistemas afectados denominada “SuperDAT”. En el blog oficial, Barry McPherson (vicepresidente ejecutivo de McAfee), se lamenta y disculpa del error cometido por la compañía.
Este tipo de errores, relativamente habituales, provocan verdaderos quebraderos de cabeza a los administradores debido a la rapidez e instantaneidad con la que surgen y se propagan.
Casi todas las casas han tenido y temido este tipo de errores y el impacto que producen sobre su reputación. Recordemos algunos incidentes que afectaron masivamente a sus usuarios.
Marzo de 2010, BitDefender marca falsos positivos sobre varios archivos del sistema en Windows Vista.
Julio de 2009, CA detecta archivos del sistema (Windows XP) como “Win32/AMalum.ZZQIA”.
Diciembre de 2009, Avast confundía archivos legítimos con “Win32:Delf-MZG”.
Noviembre de 2008, AVG detectaba la dll “user32” como un troyano y recomendaba su eliminación.
Octubre de 2008, McAfee marca como troyano al ejecutable de la consola IME en Windows Vista.
Diciembre de 2007, Kaspersky emite un falso positivo sobre el explorador de Windows.
Mayo de 2007, Symantec provoca falsos positivos en los archivos “netapi32.dll” y “lsasrv.dll” confundiéndolos con el troyano “Backdoor.Haxdoo” en Windows XP SP2 con el idioma Chino simplificado. Fuente
Comentario:
El que otros antivirus también hayan tenido falsos positivos, es una demostración de que es un riesgo que existe en todos, por precisar actualizaciones muy frecuentes de las firmas de los antivirus, al aparecer continuamente nuevas variantes de malwares, y ello aumenta la probabilidad de errores, si bien ello no es excusa para dichos fallos, todo lo contrario, demuestra la necesidad de poner mas controles y garantías para que ello no vuelva a suceder.
Solo esperemos que lo pasado sirva para evitarlo en el futuro.
saludos
ms, 25-4-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.