NOTICIA SOBRE INCIDENTE DE AYER TARDE CON FALSO POSITIVO (DURANTE DOS O TRES HORAS) CON LOS DAT 5958 DEL VIRUSSCAN DETECTANDO UNA SUPUESTA VARIANTE DEL VIRUS WECORL

Ayer sobre las 17 horas empezaron las llamadas de incidencias sobre detección del virus WECORL, que no se eliminaba con el VirusScan.

Buscando información al respecto, se vió que dicho virus (en su versión inicial) entraba por el mismo agujero que el Conficker, y que podía capturar información asi como eliminar ficheros del sistema y dejar el ordenador inoperativo.

Como que parecía que los ordenadores afectados ya tenían el parche MS08-067, pensamos en una mutación o variante de dicho virus, que pudiera entrar por algun nuevo agujero de seguridad aun no conocido (zero DAY), y mientras aumentaban las llamadas, saturando las 20 líneas de SATINFO, informabamos en el blog con una noticia de emergancia al respecto, https://blog.satinfo.es/?p=3644 , con los “primeros auxilios” contra el supuesto virus WECORL.

Pasada hora y media del primer aviso, McAfee nos informó que podía tratarse de un falso positivo de los DAT de ayer tarde, 5958 y que iban a publicar nuevos DAT 5959, sobre las 20 horas (hora peninsular española)

Cambiamos la informacion a los clientes que nos llamaban, y publicamos la noticia a continuacion de la de emergencia en el blog (www.satinfo.es/blog)

Antes de ello, como que ibamos haciendo pruebas de solucion provisional, y ya fuera de horas de trabajo, se vio que con los BETADAT diarios ya se resolvía el problema, lo cual se comunicó igualmente en el blog, para quienes estuvieran pendientes de las novedades.

Y ya llegados los nuevos DAT 5959, (los actuales a la hora de escribir esta noticia) , se solucionó definitivamente el problema, que causó pánico, streess y quizás algun infarto (nosotros estuvimos a punto !)

Esta noticia informativa se enviará por e-mail a los clientes que están apuntados a dicho servicio, pero sirva tambien en el blog como adelanto para todos.

Y de nuevo pedir disculpas por parte de McAfee, de este fallo involuntario que tantas molestias causó y que sin duda fue un fallo humano del que esperamos recibir disculpas al mas alto nivel (posiblemente incluso del propio CEO de McAfee).

Suponemos que hoy volveremos a tener muchas llamadas pidiendo explicaciones y que podrán desbordar nuestros medios, por lo que anticipamos esta noticia aqui, hora y media antes de empezar el servicio, para evitar en lo posible dicha saturación y pedimos paciencia y que nos excusen, si ello sucede. Son circunstancias extraordinarias que impiden poder atender personalmente a los mas de 100.000 clientes al mismo tiempo (!)

saludos

ms, 22-4-2010

Recordamos en resumen la solución: Arrancar en MODO SEGURO CON FUNCIONES DE RED, descargar el fichero SDAT actual y ejecutarlo, y si se hubiera eliminado  el fichero SVCHOST.EXE, reemplazarlo por el de otro ordenador con igual sistema operativo.

Tambien puede copiar dicho fichero  SDAT, desde otro ordenador, en un pendrive y, arrancando en MODO SEGURO el ordenador afectado, ejecutarlo. ms.

NOTA:

Si ha desaparecido el SVCHOST.EXE, el ordenador no funcionará del todo, por lo que luego (siempre después de actualizar los DATS), se debe restaurar copiando en la carpeta de sistema (C:\windows\system32\) dicho fichero, bien cogiendolo de dicha carpeta de otro ordenador con XP SP3 , o bien probando si lo tiene este en C:\windows\servicepackfiles\i386\svchost.exe

Dicha operación de copiado debe hacerse desde MSDOS con un COPY, ya que el copiar y pegar del windows no funcionará por falta de dicho SVCHOST, por ejemplo:

COPY   C:\windows\servicepackfiles\i386\svchost.exe   C:\WINDOWS\SYSTEM32\

y si se copia desde un pendrive en el que se haya copiado el de otro equipo en el directorio principal del pendrive:

COPY <unidad donde se tenga el pendrive>:\svchost.exe   C:\WINDOWS\SYSTEM32\

Si no se encontrara por ninguna parte dicho fichero, siempre cabe lanzar una REPARACION DE SISTEMA, arrancando con el CD de instalación de Windows, proseguir como si se fuera a instalar y, cuando detecta la partición instalada, escoger REPARAR. (Y tras ello lanzar un windowsupdate), pero ello es mas largo, y no hace falta normalmente.

_________________

ULTIMA HORA:

McAfee ha creado para todo ello __________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.