10:01
22/4/2010

Antywirus firmy McAfee zaliczył false-positiva w pliku svchost.exe i przez pomyłkę wrzucał go do kwarantanny. Spora część Windowsów XP zareagowała na to niekończącym się rebootem lub brakiem dostępu do sieci. Ups…

Problem dotyczył bazy sygnatur (DAT 5958). McAfee kombinuje jak tu naprawić setki tysięcy padniętych maszyn, ale z jego oficjalnych stron ciężko będzie się czegoś dowiedzięć, bo ugięły się pod naporem ruchu… Jeśli twój system dalej działa, błąd Cię nie dotyczy i możesz spać spokojnie. Spać spoknie natomiast nie mogą setki urządów, szpitali, uniwersytetów…

Nie pierwsza i nie ostatnia wpadka

O wpadkach antywirusów już pisaliśmy nie raz (sam McAfee już raz przyczynił się do ewakuacji jednego z londyńskich szpitali).

Trzeba podkreślić, że tego typu błędy po prostu się zdarzają i zdarzać będą. Wygląda na to, że najlepszą ochroną (oprócz backupów, które przecież wszyscy robimy :>) jest dywersyfikacja pogramów antywirusowych. Tylko wtedy mamy szansę na to, że w przypadku false-positiva u jednego z antywirusów, przynajmniej część komputerów w firmie będzie pracować normalnie.

Przeczytaj także:

52 komentarzy

Dodaj komentarz
  1. #Piotr Konieczny
    A jakiego programu używają niebezpieczniki? I czy możecie polecić mi darmowego Microsoft Security Essentials zamiast np płatnego KIS 2010 ?

    • @Adam: niebezpieczniki nie używają windowsa ;) a jeśli już na nim pracują, to korzystają na przemian z mcafeego właśnie i f-secura.

  2. Odkąd zmieniłem sobie system na linuxa, jedyne czym muszę się martwić to to żebym nie napisał sobie sam zabójczego skryptu…

  3. U siebie na Linuxie i tak stosuje Clam AntiVirus

  4. Nie ma dobrego antywirusa, każdy szkodliwy program można zrobić FUD.

  5. Albo zainstalował niepodpisanej paczki z trojanem, tak samo exploity “internetowe” są przenośne między platformami. Ale racja, dużo mniej zmartwień.
    Co do wpadki McAffe widocznie mają za małe test cneter albo leją na testy ;]

  6. Dywersyfikacja dywersyfikacją, jednak duże firmy z różnych względów wolą zakupić wszystko u jednego producenta (zniżki, mniej faktur, mniej umów do negocjowania, itd. itp., prostsze zarządzanie z punktu widzenia działów IT). Może po prostu kilka mniej ważnych maszyn niech aktualizuje się od razu, a reszta z jakimś opóźnieniem? Gdy padnie te kilka, wyłączamy centralnie automatyczne aktualizacje i czekamy na poprawkę poprawki :).

  7. Ale w korporacjach, mniejszych i większych to król Microsoft panuje, i to pod niego dobierane sa rozwiązania AV, z moich rozmów z adminami wynika, że McAffe od jakiegoś roku pikuje mocno w dół i fala niezadowolenia rośnie, a konkurencja w ramach competity upgrade, proponuje niemal 90% zniżki za przejście na ich produkt :)

  8. Różne problemy się zdarzają, ale to już jest totalne przegięcie.
    Miałem jazdy kiedyś z Nortonem, nawet przestałem po tym używać antywirusów. W pracy było parę dni wolnego z powodu fałszywych pozytywów Kaspersky’ego (eclipse.exe) i niebieskich ekranów (debugowanie z Visual Studio 2008). Teraz używam ESET NOD32, który najmniej mi przeszkadza, ale też się zdarzają wpadki (niebieskie ekrany z TrueCrypt w wersji 4.2)

  9. Adam: http://grzglo.jogger.pl/2010/04/13/avira-antivir-free-najlepszym-darmowym-programem-zabezpiecza/

    Tak ostatnio czytałem, sam też to wale na każdym windowsie co mam pod ręką – bo darmowy. A wychodzę z założenia, że lepiej to niż nic, i mam nadzieję że nie doczekam się takiego błędu jak w w/w AV.

  10. Ładna wpadka, gratulacje :)

    Jak dla mnie to na Desktop BeOS był naprawdę dobry, no ale padł (1998r?) :(.
    No i od tego czasu używam Linuksa na Desktopie, cudów nie ma ale pracuję się znośnie, co do braku zagrożeń na Linuksa to jest po prostu bajka. Ten system wymaga po prostu wiedzy od użytkownika, a patrząc na łatwość instalacji kolejnych dystrybucji może się “nagle” okazać że Linux nie jest aż tak bezpieczny ;)

    Chociaż aby system padł to trzeba się zazwyczaj troszkę postarać :)

    Jeśli chodzi o Windows podziwiam ludzi którzy na nim pracują, poważnie.

    Pozdrawiam.

  11. Najlepiej było by korzystać z zabezpieczeń chroniących sam serwer, przez którego przepuszczany jest ruch. W ten sposób całość podejrzanych pakietów zatrzymywana była by jeszcze przed dotarciem do samego desktopu. Tego typu rozwiązania są niestety odpłatne ale zapobiegają wystąpieniu podobnych do przedstawionej powyżej informacji.

  12. Najlepiej to mieć dobrze skonfigurowany system. Jeśli użytkownik nie ma prawa zapisu niczego na partycji systemowej i tylko zmienia pliki z danymi (a to sprawdziło by się w większości urzędów i szpitali) to nawet antywirusa nie potrzeba za bardzo. Można do tego dać antywirusa dobrze skonfigurowanego, żeby informował o zagrożeniach ale samemu za dużo nie robił. Na niektórych uczelnianych komputerach na laboratoriach tak mam i żadne antywirusy nie są potrzebne. Niektóre funkcje ewentualnie wykonywane byłyby na osobnych komputerach, jeśli zabezpieczenia by im przeszkadzały.

  13. @Rafał. Wg mnie to tylko kolejna linia obrony i na pewno żadne panaceum. Myślę , że nie był byś zadowolony jak by cię wpięto do tak chronionej sieci (takie systemy coby być „sprawnym” muszą narzucać spore ograniczenia).

  14. Nie zgodzę się z tobą. Zapomniałeś o wirusach przenoszonych za pomocą np pamięci flash.

  15. W ten sposób całość podejrzanych pakietów zatrzymywana była by jeszcze przed dotarciem do samego desktopu. Tego typu rozwiązania są niestety odpłatne

    Tego.. Squid i clamav (http://www.freebsdonline.com/content/view/345/354/) + firewall z wyciętymi http://www.spamhaus.org/drop/drop.lasso https://zeustracker.abuse.ch/blocklist.php i kilkoma innymi + pdnsd z http://www.mvps.org/winhelp2002/hosts.htm. Wszystko na bramie domyślnej (lub ew. za routerem / zamiast routera). Można też wyciąć wszystkie porty poza 80 (+smtp +pop3 +inne). I na początku warto ręcznie monitorować połączenia wychodzące, po ubiciu wszystkich podejrzanych postawić idsa (np. snort?). Koszt: 0 zł. Nie liczę wiedzy którą musisz posiadać przed postawieniem i wiedzy o którą się wzbogacisz po postawieniu takiego systemu :). Powoli stawiam takie coś w firmie.

    Są też darmowe rozwiązania, jak np. Untangle.

  16. “Wygląda na to, że najlepszą ochroną (oprócz backupów, które przecież wszyscy robimy :>) jest dywersyfikacja pogramów antywirusowych.”
    dodałbym i systemów operacyjnych nowa aktualizacja naszego systemu też jest w stanie ubić niektóre, kompy lub/i usługi ;]

  17. @Gander conajmniej śmieszny jesteś! Na linuxa już istnieją od dawna wirusy są nawet botnety i właśnie zombie robią sobie z takich nieświadomych użytkowników linuxa którzy myślą “mam linuxa wszyscy, twórcy wirusów mogą mi naskoczyć”

  18. Ja kiedyś mając włączonego Kasperskiego odpaliłem skaner online tej samej firmy i Windows się “skruszył”.

  19. @Gander

    Odkąd zmieniłem sobie system na Mac OS X, jedyne czym muszę się martwić to… Nic.

  20. Dywersyfikacja programów antywirusowych w większych firmach jest samobójstwem ponieważ prowadzi do braku spójnej informacji o aktualnym statusie całości. Raczej nie tędy droga… :-)

  21. Właśnie rano w pracy mieliśmy przez to 2-godzinny zastój :D Koło 100 komputerów się posypało. Ale szybko znalazło się rozwiązanie i niestety trzeba było wracać do pracy :P

  22. @Piotr Konieczny
    Tak właśnie myślałem ;-) Dzięki wielkie

  23. Jak powtarza znajomy admin: “Użytkowników trzeba traktować jak wirusy”
    IMO do czasu wyjścia Qubes będzie to ciągle najlepsze rozwiązanie w firmach.

    BTW:Koleżanka zainstalowała sobie kiedyś 5 antywirów(avira, panda, avast, norton i avg) i to dopiero były jaja.

  24. VebVe: głupoty gadasz i żal mi Ciebie.

  25. i wlasnie dlatego producenci oprogramowania powinni byc odpowiedzialni finansowo, za wadliwe dzialanie swoich produktow. gdyby jelopy z mcafee mialy w perspektywie milionowe kary, to cos takiego nigdy nie mialoby miejsca.

  26. Ja korzystam z NIS i uwazam go za najlepszy produkt. Mcafee + firefox = syf na kompie, mialem jeszcze kilka dni temu, ale jak mi sie wywalil firefox, a w pasku zobaczylem malware + w pamieci 3 trojany to mi sie odechcialo. Mcafee siedzial cicho, trojan go wylaczyl i dziekuje za taki soft.

    A wystarczylo wejsc tylko na strone z warezami. Wogole ten XP to jedna wielka dziura, dziwie sie tym co za niego placa.

    Ale to tylko moja opinia.

  27. @jurek ogórek
    Wolne żarty. Wtedy w ogóle większości oprogramowania by nie było, poza malwarem bo jego twórcy by się nie przejmowali.
    Skąd się w ogóle takie pomysły biorą?

    @Pawel
    Czyli wierzysz w bajki o systemach odpornych na wirusy itp?

  28. przesiadłem firmę z mcafee jakieś dwa lata temu, wtedy to zaczęło się w mcafee opóźnienie w updejtach, każda nowa wersja zamulała coraz bardziej. Teraz od dwóch lat korporacyjnie używamy nod32. dobry, lekki i skuteczny, z dobrym tooliszczem do zarządzania całym tym bałaganem :)

  29. @Gander: zmieniłeś na Linuksa z Winsocka ? ;)

  30. “sam McAfee już raz przyczynił się do ewakuacji jednego z londyńskich szpitali”

    Chodzi o akcję mytob’a z 2008 r. czy coś jeszcze innego?

  31. Nam udało się ominąć akcje całkiem sprawnie, tylko jeden komp miał problem, ale głównie przez to, że aktualizacje lecę bezpośrednio z McAfee. Cała firma pobiera z ePO, a to ma dwa kalendarze na aktualizację. Więc jak McAfee wypuścił poprawnego dat’a 5959 pobrał by się za automatu drugim kalendarzem i rano użytkownicy pobierają tylko najnowszą paczkę. Czasami przy McAfeem lepiej się zabezpiczyć. Sytaucja jak z VirusScanem 8.7 – wprowadzili coś, co próbowało się łączyć z netem i nie potrafiło przejść proxy z autoryzacją, efekt… logoowanie do konta domenowego z ograniczonymi uprawnieniami trwał 5 minut….

  32. Cięcie wszystkiego “na bramce” to też nie rozwiązanie (chociaż na pewno pomoże) – połączenia SSL juz nie wyfiltruje (najgłupszy przykład – załącznik ściągnięty przez webmaila) wymaga drogiego sprzętu (czy specjalizowanego, czy drogiego po prostu bo musi być szybki), spowalnia sieć itp. itd

  33. @zzzz:
    nie mowie o kalkulatorze, ktory napisales sobie jak miales 9 lat, tylko o softwarze, ktorego wadliwe dzianie moze spowodowac duze szkody.
    czy inzynier nie powinien byc odp. za bezp. budynku, ktory projektuje? :P
    jak kupuje mixer i cos sie w nim zj*bie, to mam prawo go co najmniej wymienic, a z softem co? nic, bo przed instalacja dostaje do zaakceptowania b. korzysta dla producenta EULE.

  34. Widać że nigdy nie programowałeś, przynajmniej nie poważnie ;], bugs happen to nie jest spawanie blachy że można popatrzeć, przelecieć sondą i wiesz że wszystko jest ok.

  35. Dlatego właśnie używam Maca… pod Mac OS X nie trzeba mieć żadnego antywirusa, system sam potrafi się bronić przed niebezpieczeństwami z neta. Same zalety, zero wirusów na tą platformę, stabilność, świetnie działający backup wbudowany w system… po prostu bajka… dzięki Apple wreszcie praca z komputerem może być czystą przyjemnością a nie udręką i czekaniem na usterkę…

  36. @Lukasz: fajny dowcip ;> (albo wzorcowy przykład ironii).

  37. Kiedys miałem NIS i cos sie pochrzaniło z kontem supervisor nie dało sie przeprowadzic normalnie deinstalacji… ale wyłączenie go z usług zakonczyło problem :)

  38. @Lukasz, a jak u Ciebie z mozliwosciami wpięcia do Active Directory? :) Ludzie, nie czujecie, ze ta awaria – uderzyła w wiekszosci w środowiska koroporacyjne? Które używają mcafee. Mało osób imho używa go prywatnie, gdyż jest a) drogi, b) mniej efektywny niż choćby darmowe odpowiedniki. Ale ma narzędzie do zarządzania i to czyni go użytecznym w takim środowisku.

  39. @Marti

    Ad. a)
    Drogi? 150 zł za pełen pakiet na rok na 3 komputery?

    Ad. b)
    Co rozumiesz przez mniej efektywny?

    O jakim narzędziu do zarządzania piszesz?

    Radek

  40. @xani:
    za to ty musisz duzo programowac na powaznie ;], skoro uwazasz, ze takiego bledu nie dalo sie uniknac prostym testowaniem.

  41. @Radek

    Pewnie pisze o ePolicy Orchestrator, faktycznie bez tego nie wyobrażam sobie już dzisiaj pracy. Jednak chyba już większość producentów, sprzedających oprogramowanie firmom, proponuje już takie rozwiązania.

    • Seth: dokladnie, np. F-secure ma Policy Managera ;)

  42. @seth
    No właśnie się dziwię bo co EPO czy wersje korporacyjne mają wspólnego z prywatnymi użytkownikami.
    Ale może Marti odpisze.

  43. hmm no teoretycznie każda kupiona licencja korporacyna na VirusScana ma w sobie licencję do ePO (tak pokrótce) więc może wersja domowa też ma i np. ktoś zarządza 3 komputerami w domu bo lubi raporty zapuszczać ;)

    @Piotr Konieczny

    Swego czasu bawiłem się rozwiązaniem Symanteca (testowo) i powiem, że gdybym miał wprowadzić zmianę to poszedłbym w tą stronę. Pytanie z ciekawości, w Twojej opinii F-Secure czy McaAfee ma lepsze rozwiązanie jeżeli chodzi o konsolę zarządzania i jej możliwości?

  44. […] dzięki temu unika się takich sytuacji jak ostatnia wpadka antywirusa McAfee, który po updacie zepsuł 800 tysięcy maszyn. Nie zawsze szybkie łatanie jest najlepszym […]

  45. […] oprogramowania to ciężki orzech do zgryzienia. Niedawno przypomniał nam o tym makabryczny update McAfee’go, który rozłożył na łopatki 800 tys. komputerów. Wtedy ucierpiały firmy i raczej nie można […]

  46. […] życzymy dużo koli, dużo pizzy, niepołamanych końcówek w srętkach, niezatapialnych serwerów, braku false-positivów, zaufanych osób w sieciach z WPA2, szczelnych serwerów FTP, wytrzymałych UPS-ów i generatorów […]

  47. […] komputer, mogą go, znienacka zaatakować ;-) Przypomnijmy, że niedawno program antywirusowy od McAfee rozłożył na łopatki 800 tys. komputerów, a wcześniej podobna sytuacja przytrafiła się antywirusowi […]

  48. […] aktualizacji dopałętał się do ich systemu antywirus od McAfee (który potrafi zrobić niezłe kuku), powinni pamiętać o odznaczeniu “McAfee Security Scan” przy pobieraniu […]

  49. […] Przypomnijmy, że na skutek problemów z oprogramowaniem antywirusowym firmy McAfee, kilka lat temu jeden z londyńskich szpitali trzeba było ewakuować… […]

  50. […] przypadki false-positve’ów wśród antywirusów to: Kaspersky i pliki ikon, czy też McAfee i awaria 800 tys. komputerów oraz ESET i Onet a także BitDefender i […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.