21 may 2007

De nuevo un falso positivo de una casa antivirus, inutiliza miles de sistemas Windows

Vuelve a ocurrir. Un error en las firmas de un antivirus (en este caso Symantec) provoca "anomalías" en los ordenadores de sus usuarios.
Symantec ha detectado dos ficheros de sistema de la versión china de Windows XP como malware durante un breve periodo de tiempo. Los archivos, vitales para Windows, impiden que el sistema arranque al ser puestos en cuarentena o borrados. Un falso positivo que costará caro a la compañía.

Durante el día 17 de mayo varios productos Norton Antivirus (de
Symantec) actualizaron normalmente sus bases de datos. Estas contenían
un patrón de firmas por el que, por error, se calificaba como troyano
(Backdoor.Haxdoor) a los ficheros netapi32.dll y lsasrv.dll de la
versión en chino simplificado de Windows XP SP2. Si estos archivos eran
puestos en cuarentena o directamente borrados, el sistema no volvería a
arrancar, abortando en adelante el proceso de inicio con un pantallazo
azul de la muerte (BSOD).

Chinese Internet Security Response Team (CISRT) alertó inmediatamente de
una situación crítica y de miles de usuarios afectados. Symantec ha
reconocido el desafortunado error y liberó al poco tiempo una nueva
actualización de firmas que ya no confundía estos ficheros con
peligrosas puertas traseras. Al parecer sólo se veían afectadas las
versiones de estos archivos actualizadas con el parche MS06-070 de
noviembre de 2006 y sobre ese idioma en concreto.

Para quien mantuviese su sistema sin reiniciar durante todo el proceso y
volviese a actualizar las firmas para solventar el error, el problema no
resultaba tan grave. Quien hubiese reiniciado su sistema después de la
"fallida detección" tendría que utilizar una herramientas de
restauración (por ejemplo la consola de Windows) para poder arrancar su
sistema y volver a operar con él.

Desgraciadamente esta situación se repite con cierta frecuencia desde
hace años. Las casas antivirus liberan temporalmente y por error firmas
defectuosas que causan más daño que beneficio. A finales de 2005
Kaspersky confundió el bloc de notas (notepad.exe) con
Trojan.Win32.StartPage.adh. En julio de ese mismo año Panda tomó al
mismo programa (bloc de notas tradicional de Windows) por un adware y lo
borró por accidente en sus clientes.

Mucho peor es perder información personal, pero también se han dado
casos. Hace muy poco, en marzo de 2007, Microsoft OneCare fue acusado de
borrar accidentalmente correos y carpetas de Outlook completas. Admitió
el error y publicó una actualización aunque hubo dudas sobre las
responsabilidades del problema.

Trend Micro protagonizó también en abril de 2005 un grave error por el
que una actualización del patrón de firmas causó que sistemas que
utilizaban su antivirus se bloquearan por completo. En un primer momento
muchos administradores creyeron que se trataba de algún tipo de virus
que estaba afectando a sus redes. Los sistemas bloqueados sufrían tal
consumo de recursos que impedían el propio proceso de actualización de
Trend Micro para descargar e instalar el nuevo patrón de firmas que
corregía el problema. Se hizo necesaria una actuación manual iniciando
Windows en modo seguro, borrando el archivo de actualización y
reiniciando el sistema.

Por si fuese poco, todas las casas antivirus, prácticamente sin excepción y con cierta regularidad, confunden temporalmente programas de instalación creados con NSIS (estándar de facto para la instalación en Windows) con algún virus que deben eliminar... el último caso conocido ocurrió en septiembre de 2006 y fue protagonizado por F-Prot.

Y es que con la avalancha actual de malware que deben soportar las casas antivirus, y la respuesta en forma de heurísticas más agresivas, no es de extrañar que cometan deslices de este tipo.

Más información:
Mass detection of Trojan.Win32.StartPage.adh
http://forum.kaspersky.com/lofiversion/index.php/t7320.html

Microsoft: Don't blame OneCare for lost Outlook e-mail
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9013410

Microsoft: Sorry for OneCare fiasco
http://www.zdnet.com.au/news/security/soa/Microsoft-Sorry-for-OneCare-fiasco/0,130061744,339274218,00.htm

Actualización de TrendMicro bloquea los sistemas de sus clientes
http://www.hispasec.com/unaaldia/2375

Actualización de Panda borra el bloc de notas de Windows
http://www.diarioti.com/gate/n.php?id=9081

NSIS False Positives
http://nsis.sourceforge.net/NSIS_False_Positives

Fuente: http://www.hispasec.com/unaaldia/3130/

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!