Wie McAfee antivirus gebruikt had gisteren een slechte dag. De dagelijkse updates van de signatures van de beveiliger, waarmee het relatief ongevaarlijke W32/wecorl.a virus moest worden geneutraliseerd ging woensdagmiddag helemaal mis. Op Windows XP SP3 werd het bestand svchost.exe aangewezen als malware en die file werd dus direct in quarantaine gezet, waardoor de machines in een reboot-loop terecht kwamen. Bovendien verloren de machines hun netwerk, waardoor oude tijden herleefden en systeembeheerders met usb-sticks langs de werkstations moesten om de schade te herstellen.

Helemaal up-to-date

Het gaat vooral om machines met Windows XP SP3, al zijn er ook een paar meldingen dat Vista is aangetast. SP1 en SP2 van Windows XP, Windows 2000 en Windows 7 bleven helemaal buiten schot. Bovendien gaat het alleen om machines die de nieuwste versie van VirusScan draaiden. Daarnaast moet er een optie aan staan die het hele geheugen van de computer scant na de update. Normaal gesproken heeft dat meerwaarde omdat virussen daarmee sneller worden herkend. Nu leidde deze optie echter direct tot een reboot. System restore van Windows zette de ontbrekende file vervolgens weer terug, waarna McAfee het weer verwijderde, wat weer een reboot tot gevolg had.

Updates van signatures worden liefst zo snel mogelijk verspreid over machines, om op die manier zo goed mogelijk bescherming te bieden tegen virussen. Erik Remmelzwaal van McAfee specialist Medusoft stelt dat het van het grootste belang is dat dit inderdaad zo snel mogelijk gebeurt. Maar blijkbaar updaten de bedrijven die niet getroffen zijn hun signatures niet snel, zegt hij. Nu zijn ze met de schrik vrijgekomen, maar volgens Remmelzwaal zijn ze zich er niet van bewust dat ze erg veel risico lopen door niet up-to-date te zijn. Dit geldt overigens niet alleen voor klanten van McAfee.

‘Schade valt mee’

Remmelzwaal stelt dat de schade nog meevalt. Uit een onderzoek dat Medusoft heeft gedaan blijkt dat 45 procent van de bedrijven problemen heeft gehad, en dat 5 procent van de systemen in de gevreesde loop is terechtgekomen. “Natuurlijk valt het niet mee voor de bedrijven die wel getroffen zijn", zegt hij, "maar je zou denken dat alle bedrijven problemen zouden hebben. Dat is dus niet het geval en dat valt ons mee.” De herstelprocedure valt niet mee, aldus Remmelzwaal. Daarvoor moet de hersteltool van McAfee worden gebruikt, en dat moet in safe mode vanaf een usb-stick. Remmelzwaal gelooft niet dat dit 30 minuten zal duren, maar systeembeheerders moeten wel alle machines langs. Al zijn er ook bedrijven geweest die het via het netwerk hebben kunnen doen, zei hij.

Niet getest op XP SP3

Maar hoe kon dit nu gebeuren, want zulke signatures worden toch getest voordat ze worden uitgestuurd? ZDnet meldt echter dat uit documenten van McAfee blijkt dat Windows XP met VSE 8.7 niet is meegenomen in de tests. En dat is natuurlijk volkomen onbegrijpelijk, aangezien Windows XP SP3 op dit moment het meestgebruikte besturingssysteem is op zakelijke desktops.

Volgens de McAfee Q&A werd het probleem overigens al wel in een vroeg stadium ontdekt, maar is het foute DAT-bestand er doorheen geglipt. Zeker is dat McAfee de komende tijd heel wat zal moeten uitleggen wil het niet veel klanten verliezen. Het bedrijf heeft beloofd dat ook inderdaad te zullen doen.

Maar wie overstapt moet wel uitkijken dat hij niet in de armen loopt van scareware, want makers van dat soort software is natuurlijk direct op de blunder van McAfee gesprongen.

Bron: Techworld