McAfee causa problemas de "falsos positivos" en Windows XP SP3
El antivirus McAfee lanzó hoy una actualización que, lejos de mejorar la seguridad, causó el caos en algunos PC con Windows XP Service Pack 3.
En estos equipos, el software detectaba que el equipo tenía un supuesto virus W32/Wecorl.A que en realidad no estaba presente (causando un “falso positivo”). El error provocaba que un archivo válido fuera catalogado como malware, lo que hacía aparecer una pantalla azul (BSOD) o un error que forzaba a reiniciar el equipo.
Todo esto no habría sido tan terrible si no fuera porque muchas compañías e instituciones utilizan Windows XP junto con este antivirus. Uno de los afectados fue el Poder Judicial en Chile, que se vio atacado por una serie de BSODs cuando actualizaron McAfee esta mañana (causando la paralización en la tramitación de una serie de causas).
La compañía envió un comunicado reconociendo un error en el archivo de definición de virus 5958 (DAT), y afirmó que el problema ya ha sido solucionado y la actualización defectuosa se ha eliminado, de forma que no seguirá descargándose en más equipos.
Para solucionar este problema, si es que has sido afectado, hay dos alternativas. La primera es descargar el archivo Extra.dat y hacerlo correr, lo que arreglará la situación. La segunda opción es hacer un “roll back” del DAT, es decir, volver a la versión de ayer del antivirus (5957).
McAfee ha conseguido encontrar una solución al problema, que se ha prolongado durante unas horas, y ha publicado en internet unas indicaciones para que los usuarios afectados puedan recuperar su computador.
Fuente: FayerWayer y InfoSpyware
En estos equipos, el software detectaba que el equipo tenía un supuesto virus W32/Wecorl.A que en realidad no estaba presente (causando un “falso positivo”). El error provocaba que un archivo válido fuera catalogado como malware, lo que hacía aparecer una pantalla azul (BSOD) o un error que forzaba a reiniciar el equipo.
Todo esto no habría sido tan terrible si no fuera porque muchas compañías e instituciones utilizan Windows XP junto con este antivirus. Uno de los afectados fue el Poder Judicial en Chile, que se vio atacado por una serie de BSODs cuando actualizaron McAfee esta mañana (causando la paralización en la tramitación de una serie de causas).
La compañía envió un comunicado reconociendo un error en el archivo de definición de virus 5958 (DAT), y afirmó que el problema ya ha sido solucionado y la actualización defectuosa se ha eliminado, de forma que no seguirá descargándose en más equipos.
Para solucionar este problema, si es que has sido afectado, hay dos alternativas. La primera es descargar el archivo Extra.dat y hacerlo correr, lo que arreglará la situación. La segunda opción es hacer un “roll back” del DAT, es decir, volver a la versión de ayer del antivirus (5957).
McAfee ha conseguido encontrar una solución al problema, que se ha prolongado durante unas horas, y ha publicado en internet unas indicaciones para que los usuarios afectados puedan recuperar su computador.
Fuente: FayerWayer y InfoSpyware
Estuvo cerca.
ResponderBorrarPor poco y en estos momentos estaría analizando una nueva solución de antivirus para mi empresa, por suerte tenemos programada la actualización para despues del medio día y fuimos alertados a tiempo, pero otras compañias si sufrieron todo el rigor del efecto de esta catastrófica actualización.
Solo me queda unas dudas con respecto a lo sucedido hoy:
¿Una empresa como McAfee no hace pruebas a los dat antes de lanzarlos? (Muy grave..)
Antivirus ¿Un control de seguridad de la información o un riesgo para la seguridad de la información?
En todo caso las actualizaciones de McAfee ya se conviertieron en una amenaza mas... Otro elemnto que nos va a robar la tranquilidad.
Hola Anonimo,
ResponderBorrarCualquier barrera de seguridad extra siempre es mejor y sobre todo cuando se trata de no poner en riesgo la información de la compañia.
EL FP que le ocurrió a esta empresa puede pasar y es parte del riesgo de toda compañia AV por más que tenga implementado la mejor gestión de testing en sus productos y actualizaciones.
Obvio que es preocupante pero peor aún es esto:
Rogue en nombre del Falso Positivo de Mcafee
Cristian
Al parecer ha afectado también a los servicios en hospitales... :S Vaya desastre, esto les va a pasar una buena factura a la compañía.
ResponderBorrarHola Lost,
ResponderBorrarSi, los afectados fueroan al menos 0,5% de sus clientes entre los que se encuentra INTEL por ej. y muchos hospitales de EEUU.
Cristian
Resulta sorprendente que hoy día haya más de un AV que no sea capaz de tener una "lista blanca" de archivos vitales del sistema.
ResponderBorrarHace más de 20 años habían AV que después de instalados en un equipo limpio, y un escaneo inicial, generaban una base de archivos del sistema con CheckSums o CRC de modo de nunca escanearlos y ademas de detectar cualquier cambio.
Hoy día Windows tiene su propia protección de cambio de archivos de sistema y algunos AV no son capaces de tratar, en ese contexto, a los archivos vitales del SO de forma más cuidada.
Es lamentable que se pierda lo aprendido hace dos décadas y se caiga en errores de este tipo.