videoedicion.org (v9)

El problema destacado de la semana ha sido el fallo que ha cometido McAfee al confundir  un componente de WindowsXP con un programa malicioso.

La empresa de seguridad informática McAfee ha cometido un error en la  detección de un supuesto virus al confundir un archivo de WindowsXP  válido con un programa malicioso. La corrección de este supuesto peligro  ha provocado la parálisis de una cifra indeterminada de ordenadores,  algunas fuentes calculan que decenas de miles, que se reinician  indefinidamente. El incidente afecta principalmente a clientes con  Windows XP Service Pack 3. Los propietarios de Windows Vista o 7 no  padecen el problema. McAfee calcula que el incidente ha afectado a una  muy pequeña parte de sus clientes, pero en Twitter proliferan los  mensajes de usuarios afectados. Uno de ellos pregunta si otros han  sufrido el mismo daño y advierte que se necesita una corrección manual  para reparar el error. La universidad de Michigan ha visto que se  paralizaban ocho mil de sus ordenadores de la facultad de Medicina y de  su sistema sanitario. Otra víctima conocida ha sido un hospital de  Siracusa (Estados Unidos).

McAfee ha presentado públicamente  excusas por el error y su página sobre problemas de seguridad ha estado  inaccesible por acumulación de tráfico. Como respuesta ha colocado en  otro sitio de Internet una explicación técnica de cómo solucionar el  problema. Una maniobra que requiere ciertos conocimientos técnicos.

Ayer conocimos la noticia (https://www.csirtcv.es/es/news/1815/) de que el antivirus McAfee estaba  dando serios problemas en equipos con el sistema operativo Windows XP  ServicePack3. Resumiendo: el problema es que el antivirus, al  actualizar las firmas de virus a su última versión, detecta como malware  un componente básico del sistema (fichero svchost.exe) y hace  que el sistema se vuelva inconsistente y se reinicie constantemente.

Por  ahora, McAfee ha publicado una solución para equipos de usuario.  Se deben seguir los siguientes pasos:

   
• 1- Descargar este ejecutable (http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe) desde otro equipo que no tenga este  problema y guardarlo en un dispositivo extraible (CD, Pendrive, etc  ...)
• 2- Iniciar el sistema afectado en "Modo Seguro". Para ello,  al arrancar el equipo presione la tecla F8 y elegir la opción Modo  Seguro.
• 3- Insertar el dispositivo donde se ha guardado el  ejecutable y copiarlo en el escritorio.
• 4- Ejecutar (doble  click) la aplicación SDAT5958_EM.EXE que se acaba de copiar.
• 5-  Abrir Mi Pc y acceder al directorio C:\Archivos de  Programa\McAfee\VirusScan
• 6- En ese directorio se deberá  eliminar la carpeta DAT.
• 7- Reiniciar el equipo y que  este arranque como siempre.
• 8- Una vez reiniciado, pulsar sobre  el icono de McAfee a la derecha de la barra de tareas inferior (icono de  una M) y seleccionar la opción de actualizar. De esta forma se  obtendrán automáticamente los nuevos ficheros DAT anteriormente  borrados.

Si no puede acceder a un equipo para  descargar la herramienta anterior, puede reemplazar manualmente el  archivo svchost.exe siguiendo los siguientes pasos:

   
• 1- Iniciar el sistema  afectado en "Modo Seguro". Para ello, al arrancar el equipo presione la  tecla F8 y elegir "Modo Seguro" o "Modo a prueba de fallos".
• 2-  Abrir "Mi Pc" y acceder al directorio C:\Archivos de  Programa\McAfee\VirusScan
• 3- En ese directorio se deberá  eliminar la carpeta DAT.
• 4- Presionar CTRL+Alt+Supr  para abrir el Administrador de Tareas (también puede hacerlo pulsando  botón derecho encima de la barra de tareas y eligiendo Admin. de Tareas)
• 5-  Acceder a Archivo > Nueva tarea (Ejecutar...)
• 6- Escribir cmd  y presionar Enter.
• 7- En la consola de comandos que aparece se  debe escribir la siguiente instrucción:
  copy  %systemroot%\system32\dllcache\svchost.exe %systemroot%\system32\
  y  pulsar Enter.
• 8- Cuando acabe de copiar, cerrar la ventana y  reiniciar el equipo.
• 9- Una vez reiniciado, pulsar sobre el  icono de McAfee a la derecha de la barra de tareas inferior (icono de  una M) y seleccionar la opción de actualizar. De esta forma se obtendrán  automáticamente los nuevos ficheros DAT anteriormente borrados.

Si  aún así no puede restaurar el sistema realizando los pasos anteriores,  ejecute el Comprobador de Archivos de Sistema (System File  Checker) de esta forma:

   
• 1. Haga clic en Inicio.
• 2. Haga clic en  Ejecutar.
• 3. Escriba sfc /scannow, y haga clic en  Aceptar.

System File Checker analizará el sistema e  intentar reparar el archivo que falta. Si no puede encontrar un archivo  de sustitución, es posible que le pida que inserte el disco de Windows  XP. Inserte el disco para completar el proceso de reparación.

Fuente:  MacAfee (http://service.mcafee.com/faqdocument.aspx?id=TS100969)

Más información:
McAfee (http://www.mcafee.com/us/about/false_positive_response.html)
CSIRT-CV (https://www.csirtcv.es/es/news/1815/)
Silicon News (http://www.siliconnews.es/es/news/2010/04/23/mcafee-asume-falso-positivo)
Hispasec (http://www.hispasec.com/unaaldia/4198)