Mcafee Grave Gaffe Update 4715

[dgenerated]

McAfee sta facendo fatica a contenere i danni derivati dall'aver distribuito un aggiornamento non corretto per i suoi prodotti antivirus, che ha generato un caso di "falso positivo" e la conseguente identificazione come virus di [Solo gli utenti registrati possono visualizzare tutti i links]
, tra cui addirittura il popolare Microsoft Excel. Questi programmi, tra cui ci sono anche Macromedia Flash Player, Adobe Update Manager e l’installer della Google Toolbar, venivano riconosciuti dall'erroneo file .DAT (4715) come W95/CTX, un virus a basso rischio isolato inizialmente nel 2004.
Le signature antivirus non corrette sono state distribuite il 10 Marzo scorso e, se sfruttate dal motore di scan, hanno causato la quarantena o addirittura l'eliminazione di molti files relativi alle popolari applicazioni. McAfee si era accorta abbastanza presto della gaffe e aveva immediatamente eseguito il downgrade delle definizioni per poi rilasciare definitivamente un nuovo file pattern (4716). Per molti utenti però la tempestivitÃ* dell'azienda di sicurezza non è bastata ad evitare danni anche gravi alle loro configurazioni software. In una [Solo gli utenti registrati possono visualizzare tutti i links]
, McAfee segnala che i files 4715 DAT hanno causato problemi per tutti gli utenti dei prodotti, VirusScan Enterprise, Managed VirusScan, VirusScan Online, LinuxShield e VirusScan (consumer). Il rilevamento errato non si verificava con McAfee OAS (On Access Scanner), né con gli scanners gateway ed e-mail.
McAfee spiega che se i files legittimi sono stati messi in quarantena sono anche stati salvati e rinominati come nomefile.exe.vir. Purtroppo però i files potrebbero anche essere stati eliminati totalmente dal sistema. Quelli effettivamente infetti da W95/CTX venivano invece segnati come W95/CTX.6886 o W95/CTX.10853.

Johannes Ullrich, chief research officer del SANS ISC (Internet Storm Center), ha affermato che la sua azienda ha ricevuto vari reports di gravi danno in alcune configurazioni aziendali. Ullrich afferma: "Abbiamo ricevuto reports di centinai di files posti in quarantena o eliminati su centinaia di computers. Se l'anti-virus era impostato per la quarantena, è possibile ripristinare questi files, tuttavia di tratta di una operazione difficile".

Una portavoce di McAfee ha affermato che il suo AVERT (Anti Virus Emergency Response Team) sta lavorando ininterrottamente da Venerdì scorso per aiutare i clienti a ridurre l'impatto dannoso dell'errore ed a ripristinare i file qualora possibile. Le versioni Managed VirusScan e VirusScan Online dispongono di visualizzatori di quarantena che consentono il ripristino dei file isolati dall'antivirus. Per i clienti VirusScan Enterprise, Mcafee conferma che non esiste la possibilitÃ* di eseguire il ripristino dei file da remoto. Per loro l'azienda ha tuttavia rilasciato un tool stand-alone che consente il ripristino automatico dei files eseguibile via ePO (ePolicy Orchestrator), il prodotto di system security management di Mcafee. L'unitÃ* AVERT sta anche valutando la realizzazione di un tool di “Undeleteâ€� per gli utenti che avevano impostato l'azione secondaria del antivirus ad “Eliminaâ€�.

Nei giorni scorso anche Trend Micro è caduta in un simile incidente. Il suo motore antispyware rilevava infatti nei giorni scorsi la CLSID del Windows Genuine Advantage Validation Tool KB892130 come Adware_iSearch, ed eliminava la chiave di registro. L'eliminazione causava la necessitÃ* di reinstallare il tool per accedere a Windows Update. Il problema è stato attualmente risolto anche nel motore di scansione online. Sul Blog di Sandi Hardmeier, Microsoft MVP, [Solo gli utenti registrati possono visualizzare tutti i links]
da vicino l'intera vicenda.

[Solo gli utenti registrati possono visualizzare tutti i links]