Káoszt okozott McAfee vírusirtója
A McAfee víruskereső-frissítéssel kapcsolatos súlyos baklövése után több mint egy nappal még mindig nincs magyarázat a történtekre.
Kategóriák: IT-védelem
Szerző: Turcsán Tamás
2010. április 23.
A McAfee egyes vállalati víruskereső termékeit használó szervezeteknek szerdán egy komoly problémával kellett szembenézniük. A McAfee egyik vírusadatbázis-frissítése ugyanis egy komoly hibát tartalmazott, amelyre - eddig ismeretlen okok miatt - nem derült fény azelőtt, hogy a frissítés kikerült a publikus szerverekre, ezért az antivírus szoftverek le is töltötték az új szignatúraadatbázist. Ezt követőn kezdődtek a valós problémák, és egyre több ügyfél kezdett panaszkodni. A technikai támogatás iránt érdeklődők száma meglehetősen rövid időn belül olyan méreteket öltött, hogy a biztonsági cég internetes támogatási fóruma egy időre teljesen megbénult.
Viszonylag hamar kiderült, hogy mi is okozta a panaszáradatot. A cég felismerte, hogy az egyik szerdai frissítését követően kezdődtek a problémák, így a hibás, 5958-as vírusdefiníciós állományt azonnal visszavonta, és elismerte, hogy a problémákat a vírusadatbázis nem megfelelő frissítése okozza. Sajnos mindez már csak tűzoltás volt, hiszen ekkora már rengeteg szervezetnél jelentkeztek kisebb-nagyobb fennakadások. Ugyanis amire fény derült a rendellenességre, addigra a VirusScan alkalmazás már rengeteg számítógépen minősítette tévesen az svchost.exe folyamatot, illetve az ahhoz tartozó állományt fertőzöttnek, amit - beállítástól függően - karanténba is zárt. (Az antivírus úgy találta, hogy a rendszerfájl egy Wecorl.A nevű kártékony programot rejt.) Mivel az svchost.exe a Windows egyik nélkülözhetetlen rendszerállománya, ezért nyilvánvalóan komoly fennakadások következtek be az áldozatul esett számítógépeken.
Rengeteg szervezetnél okozott fennakadást a hibás frissítés
Az eset kapcsán érintett vállalatok és intézmények között megtalálhatók kórházak, állami szervek és nagyvállalatok is. Először az Intel számolt be hivatalosan arról, hogy a rendszereit jelentősebb mértékben sújtotta a hibás vírusfrissítés miatt bekövetkező incidens. Mindez annak ellenére történt, hogy a cégnél igyekeztek minél hamarabb leállítani a frissítéseket. Chuck Mulloy, az Intel szóvivője szerint elsősorban asztali és hordozható számítógépek érintettek az ügy kapcsán. "Igyekeztünk leállni amilyen hamar csak lehetett, de tisztán látszik, hogy ezt nem sikerült elég korán megtenni." - vélekedett Mulloy.
Történt már ilyen...
A McAfee hibás vírusdefiníciós állománnyal kapcsolatos baklövése nem egyedülálló. Több jelentős antivírus-fejlesztő céggel is megesett már hasonló eset. Többek között 2005-ben a Trend Micro, 2007 májusában a Symantec, 2008-ban az AVG, tavaly az ESET és nemrégen a BitDefender járt hasonlóan.
Az Intel után sorba jelentették be a különböző intézmények, hogy a rendszereikben komoly fennakadások következtek be. Deb Hale, Sioux City egyik internet szolgáltatójának biztonsági szakértője elmondta, hogy a városban a 911-es segélyhívórendszer is megbénult. Amikor ez bekövetkezett, akkor azonnal riasztották a társszerveket az akkor még ismeretlen eredetű probléma miatt, majd a rendszerek vészleállítását rendelték el. Ekkor még mindenki azt gondolta, hogy egy vírusfertőzés miatt kellett leállni, és csak később derült ki, hogy a víruskereső frissítése járult hozzá a problémákhoz. "Köszönhetően a McAfee-nek le tudtuk tesztelni a katasztrófakezelési képességeinket." - mondta Deb Hale. A történtek miatt a Michigan Egyetemen is komoly fejtörést okozott a hibajelenség. Az oktatási intézmény asztali számítógépeinek üzemeltetéséért felelős egyik munkatársa szerint náluk tízezer számítógépet érintett a rendellenesség.
A Windows XP-re épülő számítógépek sínylették meg a történteket
A McAfee a történtek ellenére eddig meglehetősen szűkszavúan nyilatkozott. Egyelőre leginkább arra koncentrál, hogy enyhíteni tudja a károkat, és segítséget tudjon nyújtani a károsult szervezetek számára. A cég szerint azon számítógépek esetében történhettek fennakadások, amelyeken a Windows XP SP3 operációs rendszer fut. Emellett kizárólag azokon a rendszereken jelentkezhettek a problémák, amelyeken a VirusScan 8.7-es verziója található meg, és annak konfigurációjában engedélyezett volt a "Scan Processes on Enable" funkció.
A McAfee a rengeteg hibabejelentés ellenére úgy találta, hogy a hiba a vállalati ügyfeleinek kevesebb, mint 0,5 százalékát érintette. Joris Evers a cég szóvivője meglehetősen szűkszavúan nyilatkozott a történtek kapcsán. "A McAfee azon dolgozik, hogy segítséget tudjon nyújtani az ügyfelei számára a hibás frissítést követően. Elnézést kérünk minden ügyfelünktől az okozott kellemetlenségek miatt." - mondta a szóvivő.
Segítség a problémák felszámolásához
A McAfee egy közleményt adott ki, amelyben részletesen leírja, hogy az érintett ügyfelek miként orvosolhatják a hibát. Ez azonban nem minden esetben egyszerű feladat, ugyanis, ha a tévesen vírusosnak vélt svchost.exe állomány már karanténba került, és a számítógép normál módon nem indítható, akkor csökkentett módban, manuálisan kell lefrissíteni a McAfee vírusadatbázisát, majd kézzel visszamásolni a megfelelő rendszerkönyvtárakba az svchost.exe fájlt.
A hír a Computerworld biztonság rovatában jelent meg.
Kaszi
2010-04-23 23:58:04