Una actualización de las bases de datos de virus de McAfee ha afectado a decenas de miles de ordenadores con Windows XP, principalmente del ámbito corporativo, dejándolos inutilizados y en manos del servicio técnico. El causante ha sido un falso positivo que ha marcado como virus al proceso Svchost.exe, casi nada…
Svchost es un nombre genérico para procesos que se ejecutan desde DLLs (bibliotecas de vínculos dinámicos). Durante el arranque de Windows, este programa examina el registro, crea una lista con los servicios que hay que cargar, y es capaz de ejecutar varios de ellos. De hecho, lo habitual es que haya varias instancias de Svchost ejecutándose, cada uno correspondiente a un grupo de servicios. Sin Svchost, una máquina Windows está literalmente muerta.
Así que cuando los sistemas con Windows XP cargaron la actualización 5958 de las bases de datos de McAfee, estaban casi cometiendo suicidio. En cuanto el antivirus trasteó para “evitar el daño” que podía causar Svchost, identificado como “w32/wecorl.a”, y el usuario reiniciaba… os hacéis una idea. Pero de arrancar, ni sombra. En pocas horas, decenas de miles de máquinas con Windows XP quedaban inutilizadas.
La Facultad de Medicina de la Universidad de Michigan dice que tienen dañados hasta 25.000 ordenadores. Los hospitales de Rhode Island han tenido que posponer operaciones y rechazar a pacientes en sus urgencias en casos que no eran de extrema gravedad. No hay cifras oficiales, pero sumando las quejas de varios organismos y empresas, tranquilamente pueden rozarse las 100.000 máquinas afectadas.
Hay solución para ellas, un parche oficial creado por McAfee, para aquellos a los que aún no les ha afectado el fallo. El problema es que dado el tipo de daño, es necesario que un administrador le dedique unos minutos a cada máquina y restaure Svchost. Echando sencillas cuentas, considerando el número de máquinas afectadas, la cantidad de ellas que el técnico medio tiene a su cargo, y el tiempo a dedicar a cada una, a mi me sale que a los de McAfee les van a pitar las orejas durante unos cuantos meses.
Actualizado: Nos comenta curropar que el parche busca el Svchost en varias rutas alternativas, y que no sería necesario restaurar el archivo a mano. ¡Gracias por el aviso!
Sitio oficial | McAfee (aviso, análisis y parche)
Más información | Engadget, CNet, Microsoft (Svchost)
Comentarios
1 Comentario moderado
18Madre mía. xD Que pifiada
...quizas el mejor parche es no instalarse McAfee....
-- editado por última vez a las 11:19
Me temo que el mejor parche es no utilizar Windows xD
No importa de quien sea el error Windows siempre carga las culpas de todo, ya esto parece patológico.
Carga con las culpas porque las tiene. Diseñar un sistema operativo decente con unos permisos de usuario claros y fáciles de implementar no creo que esté más allá del alcance de hasefroch....pero claro los antivirus pagan su dinero...
Ahora al mensaje en sí... casi no puedo parar de reír.... a lo mejor vuestro ordenador es el siguiente .... en fin Saludos
NO, Ms no tiene la culpa de la idiotez de algunos usuarios y de otras compañías.
Si los permisos de usuario te son difíciles de implementar es porque estas apache con la PC, pero eso no es culpa de MS ni de nadie más.
a mí no me es díficil implementar permisos...porque no uso ni usaré MierdaS
Vaya, justo estaba redactando un aviso para enviaroslo, y después de hacerlo, veo que ya lo habéis publicado.
Está afectando a varios clientes nuestros, y a primera hora nos estábamos volviendo locos.
Vaya cagada.
Es FLIPANTE la incompetencia de algunas personas.. como pueden hacer algo así? Creo que no se le puede llamar pifia, si no PROBLEMÓN que seguramente no se quede en meras disculpas.
Es que es a nivel mundial. Imaginaos las empresa de miles de ordenadores, como se comenta aquí arriba.
#Txentxubros en este caso Windows (MS) no tiene la culpa, sino McAfee.
Yo lo sufrí en mis propias carnes, mientras estaba dando una formación que era inaplazable, y probabamos ejemplos en el eclipse, empezaron a reiniciarse los ordenadores como si les hubiese entrado el Blaster. Imaginaros mi cara y la situacion. IN CRE I BLE.
Trabajoen Ti en una multinacional, y todos usamos mcafee, y como no, ayer a las 17:00 un ordenador quedó "infectado", me extrañaba mucho que fuese un virus; y sobre las 19:00 ya se sabía que era un falso positivo. Total, a primera hora de hoy se pudo solucionar con una manera más rudimentaria que la definitiva, pero se arregla. Espero que para la próxima revisen bien lo que suben...
Podrías poner la solución que aplicaste, para todos aquellos que esperan una solución de McAfee.
Supongo que restaurando el svchost de la cuarentena (si está) o desde dónde puedas. Lo que no sé si tienes la definición actualizada, te lo volverá a eliminar cuando restaures.
En esta solución lo indica así más o menos: http://vil.nai.com/vil/5958_false.htm
-- editado por última vez a las 12:56
Antes de esa solución mcafee propuso otra, arrancar en modo a prueba de fallos con funciones de red, copiar el archivo extra dat a la carpeta donde se encuentra instalado el antivirus, y si el Svchost no estaba vacío(si el Svchost ocupa 0Kb hay que restaurarle)reiniciar normalmente, actualizar el antivirus, borrar el extra dat y listo. Ahora han echo un ejecutable que parece que lo hace él solo todo. Ese método no lo he utilizado, el que describo sí y ha funcionado sin problemas.
Espero que sea útil
Madre mía, qué masacre!
Hace unos meses un compañero me ofrecio una licencia ya que compro un pack de 5 licencias y le sobraba una, le di las gracias pero le dije que de mcaffe no me interesa nada.
El problema no es de windows es de los antivirus, antimalware y antidetodo que tienes que usar cuando corres windows y claro pasa lo que pasa.
No, el problema son los usuarios idiotas que le dan click a todo lo que ven y al final terminan usando un sistema que no es compatible con nada, ya que esa es la única forma de que estén seguros, cuando el sistema no les permite ejecutar las cosas.
interesante
Se debe a eso!? ayer me pase hasta las 3 de la mañana buscando algun troyano por mi ordenador y acabe optando por formatear completamente.... les voy a exigir que me paguen esas horas de sueño perdidas!
por si me pasa a mí, ¿a cuánto cobras la hora de sueño? :D
En una de las oficinas publicas en catalunya, los funcionarios me dicen que no pueden atenderme porque "un virus" les había bloqueado los ordenadores y les hacia reiniciar automáticamente..la cuestión es, estas empresas de antivirus revisan las actualizaciones que lanzan? de lo que si hay que tener cuidado es la posible solución "chapuza" que puedan hacer para solucionarlo ya que algún hacker con mala intensión puede modificar ahora ese archivo y acceder con el al pc ya que parche aplicado lo dará como bueno o como un falso positivo. en fin..social Engineering..
Nosotros tenemos del orden de 500 ordenadores repartidos en varias ubicaciones, varias de las cuales NO tienen soporte presencial. A las 18.15 teníamos los primeros problemas, con ordenadores que no arrancaban.
Pero no hemos tenido mayores problemas, ya que el antivirus no puede cargarse el svchost así como así (está siempre en ejecución), y la mayoría lo ponían en cuarentena, con lo que una restauración del fichero puesto en cuarentena lo ha solucionado.
Por cierto, el parche busca en rutas "alternativas" copias de seguridad del fichero, concretamente en %SYSTEM_DIR%\dllcache\svchost.exe. luego en %WINDOWS%\servicepackfiles\i386\svchost.exe, y si no, el que está en cuarentena. Por lo que no es necesario restaurarlo a mano, como se indica en el artículo.
interesante
Shits happens
#18 risuiar, exacto, y todo el mundo comete errores:
" Hace un mes, una actualización de BitDefender paralizó ordenadores Windows de 64-bit. En 2005, Trend Micro lanzó una actualización errónea de que se ralentizaba los PC's.
En mayo de 2007, un archivo inválido definición de Symantec afectó también a miles de computadoras en China cuando el software confundió dos bibliotecas .DLL críticas de Windows con 'malware'."
Extraído de http://www.portaltic.es/ciudadanos/usuarios/noticia-actualizacion-defectuosa-mcafee-provoca-cierre-miles-ordenadores-todo-mundo-20100422133250.html
También le ha pasado a Panda un par de veces.
Me imagino que la presión de estas empresas de sacar diariamente firmas y firmas termina por no revisar en profundidad cada una de ellas en todos los sistemas operativos... porque no pueden.
interesante
simple y sencillamente, Epic Fail
Yo esta mañana a primera hora lo he publicado en mi blog ya que un compañero me ha llamado agobiado por esto, creo que un fallo lo puede tener cualquiera aunque fallos de estos gordos que dejan a empresas, hospitales y policia sin ordenadores dan un poco bastante de que hablar, pero bueno al final todos somos humanos.
Este error le vá a costar caro a McAfee! Realmente es inaceptable un error de dicha magnitud.
La mejor manera de evitar la mayoria de problemas, es y siempra sera dejar la plataforma windows de lado. =). tssssssss
No todos los radicales vienen del Talibán.
Es de vergüenza que un antivirus pueda hacer eso, y más siendo uno de pago. O hacen las actualizaciones sin mirarlas... o no lo entiendo, porque detectar ese proceso como virus... también es verdad que hay virus que tienen nombres muy parecidos.
Yo creo que se van a ver muy perjudicados...
Si quieres vivir peligrosamente usa Windows.
Por lo demás como y han dicho... Epic Fail.
Me gusta vivir al extremo jaja
Jajajajajaja me mataste, que buena respuesta.
interesante
Diganle adios a McAfee! Adios...!
-- editado por última vez a las 17:26
Nosotros tenemos 500 comercios afectados, y tenemos que hacerlo a mano con un script y restaurando a mano la cuarentena por que el parche de Mcafee no funciona ni a la de tres. Todo esto en remoto hablando con la tienda que ni sabe, ni tiene porque saber de informatica.Resultado: 4 tiendas restauradas en 6 horas, no esta mal...
slaudos
Pues a mí, McAfee siempre me ha parecido una soberana porquería. Y se sigue utilizando mucho en ámbitos corporativos, eso es imperdonable. Teniendo tantas alterntivas de verdadera calidad, muchas de ellas gratuitas, y con errores garrafales como este, es hora de que los usuarios castiguen de buena manera a esta compañía.
El Mejor Parche El Unico El Que Tu Mismo Creas Y Puedes Evitar Ese Problema Es : No INSTALAR EL McAfee Y Listo . !
interesante
No entiendo porque atacar a Windows por un error de McAfee por ejemplo viendo la página de Debian me encuentro que este año han tenido 13 errores de denegación de servicio Debian Issues 2010 entre otros críticos, quiere decir esto que no debo usar mas Debian? o cuando veo esto Linux Top Ten Crashes puedo empezar a recomendar que usen Windows, por favor un poco de sentido común nunca viene mal. Como ya dije este post habla de McAfee dejemos de lado los resentimientos enfermizos contra Windows.
-- editado por última vez a las 20:24
Efectivamente cualquier SO puede sufrir cuelgues ocasionados por errores de programación de software de terceros. Está claro que Microsoft no va a ser responsable de esos cuelgues. Tampoco Debian de los que se producen en su SO por el mismo motivo. Su responsabilidad se limita a detectar esas vulnerabilidades y agilizar su solución.
Pero el tema que nos ocupa es de otra índole. No puede ser que el SO permita que, a la ligera, el antivirus se cargue un archivo crítico del sistema.
Los "Linux Top Ten Crashes" son del año 2006 y unos cuantos ni siquiera son cuelgues. Leed los comentarios, en donde lo explican.
Hay motivos de mucho más peso, empezando por la ética, para criticar Windows. Los cuelgues son un detalle sin importancia.
Amen, sobre todo quienes ponen en un pedestal a Mac Os y Linux (Curiosamente no dicen nada de Ubuntu xD)
-- editado por última vez a las 23:17
Amen hermano que esto nunca crei que lo diria, ¡que viva Vista! en mi trabajo tenemos 63 maquinas de con mc afee (que por compra de licencia mis demoniacos señores no me dejan desinstalar) esta madrugada 2 de estas que aun seguian con XP pro sp3 tiraron a negro y a reinicarce... las con vista ultimate siguieron impecables.... Dios mio ahora si lo he visto todo... apenas acabe la licencia con mcafee trabajaremos con avira! :P
Alguien me puede ayudar y decirme como lo puedo solucionar, tengo 3 sistemas jodidos. Dos de ellos se ha arreglado al actualizar windows, pero otro no. Y otra pregunta, tengo otro ordenador que ni quise encenderlo, lleva Mcafee Total protection, cuando lo encienda, es posible que me pase lo mismo??? Como me pase me da algo. Los que tengo jodido llevan el 8.7 Enterprise.
Desenchufa el cabre de red o, si va por wifi y no puedes pararlo antes de encenderlo, apaga el router cuando lo enciendas
Gracias, hice eso. Desconecté el router, encendí el ordenador y desactivé actualizaciones automáticas...cuando pase un poco todo lo reactivaré :D
Menos mal que en el trabajo siempre instalamos Kaspersky, que sino habría tenido un día movidito.
Bueno que se puede decir, un AV de lo más anticuado, hace al menos 10 años que dejé de considerarlo una opción y con un sistema como XP... riéndome desde Win 7 x64 con COMODO AV.
Deprimente... no entiendo para qué usar un antivirus tan anticuado y obsoleto. Hoy era un dia de esos en los que me hubiera encantado ser tecnico para poner manos a la obra :P... Kaspersky es el mejor, mirenlo por donde lo miren.
Suerte que me venció la licencia hace un par de meses y lo desinstalé! Hoy cuando he encendido las noticias y lo he oído he flipado en colores, esto no lo prueban?
Y nunca falta el linuxero que salga a flote diciendo que la culpa no es de McAfee, sino de Windows. Personas como estas deberían visitar un psicólogo para ver por qué ese trauma.
De verdad que son una plaga.
jajja, yo creo que la mayoría es en tono de broma. No hay que picarse.
De todas formas, si no usaras Windows no te hubiera pasado, pues que es el principal foco de infecciones de virus y por lo tanto tienes que usar antivirus. En otros sistemas no pasa eso.
No es ni mejor, ni peor... es gracioso xD
-- editado por última vez a las 15:32
Sin traumas, hago una pregunta: ¿Por qué MS Windows XP permite al antivirus cargarse tan a la ligera un archivo crítico?
-- editado por última vez a las 00:21
Estimado, aqui el problema es entre McAfee y Windows... Que tiene que ver Linux en esto.... Deberias visitar un sicologo rapidamente, estas sufriendo alucinaciones con pinguinos, jajajaja
Cagás de este tipo no es la 1ª vez que las hacen los de McAfee, ¿no?
Y bueno, para todos los talibanes y talibanas de la informática: Windows es una gena, pero es lo que hay, yo tengo que usarlo para un montón de aplicaciones (Access, simples juegos...) y soy feliz así porque tengo mis necesidades cubiertas. En otro ordenador tengo Debian instalado.
Si no os gusta no lo uséis, o id a Microsoft como desarrolladores, o haceos del tribunal de La Haya y denunciadles, o lo que sea, pero no deis el coñazo, porque cada vez que hay una noticia de este tipo en esta web empezais con lo mismo.
Eso sí, por si no lo he dicho... Windows apesta xD
-- editado por última vez a las 09:33
en la oficina tenemos 60 ordenadores XP/Vista con McAfee y hemos tenido la graaaan suerte de que no nos ha afectado a ninguno. es un Epic Fail gigante de Mcafee, y tambien de Microsoft por permitir que una aplicacion de terceros manipule asi de facil librerias del sistema.
El director de Mcafee ha escrito una carta a los clientes bajandose los pantalones... xD
" In the past 24 hours, McAfee identified a new threat that impacts Windows PCs. Researchers worked diligently to address this threat that attacks critical Windows system executables and buries itself deep into a computer's memory. The research team created detection and removal to address this threat. The remediation passed our quality testing and was released with the 5958 virus definition file at 2.00 PM GMT+1 (6am Pacific Time) on Wednesday, April 21. McAfee is aware that a number of customers have incurred a false positive error due to this release. Corporations who kept a feature called “Scan Processes on Enable” in McAfee VirusScan Enterprise disabled, as it is by default, were not affected. Our initial investigation indicates that the error can result in moderate to significant issues on systems running Windows XP Service Pack 3. The faulty update was quickly removed from all McAfee download servers, preventing any further impact on customers. We believe that this incident has impacted less than one half of one percent of our enterprise accounts globally and a fraction of that within the consumer base. McAfee teams are working with the highest priority to support impacted customers. We have also worked swiftly and released an updated virus definition file (5959) within hours and are providing our customers detailed guidance on how to repair any impacted systems. Corporate Customers These entries in our virus information library and the knowledge base provide workarounds for this issue for corporate customers. Consumers This support page provides information for impacted consumers. We are investigating how the incorrect detection made it into our DAT files and will take measures to prevent this from reoccurring. We sincerely apologize for the inconvenience this has caused our customers and will update the Security Insights blog posting more details as they become available. For further assistance please, go to www.mcafee.com/us/about/contact and click the country you are from to reach the appropriate McAfee Support contact details. Regards, Dave DeWalt President and CEO"
"y tambien de Microsoft por permitir que una aplicacion de terceros manipule asi de facil librerias del sistema."
Eso es lo que yo decía. Siempre queda actualizar a Windows 7 para evitar estas historias. Al final va a resultar que este tipo de fallos beneficia a Microsoft.
¡Qué casualidad! No me extrañaría que aparecieran más fallos de este tipo afectando a XP o Vista y no a Windows 7.
Pues mira si es divertida la cosa, el Mcafee virusscan de la empresa no soporta Windows 7, esto es como dos tontos muy tontos, uno Microsoft y el otro McAfee. jajaja
El mcaffe, ya es de los virus mas dañinos, XD En breve te quemaran los Hds
Mega Epic Fail por si no había quedado claro...
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect