CERT-XMCO : L’antivirus McAfee s’en prend aux systèmes Windows XP SP3
avril 2010 par CERT-XMCO
* McAfee signature update takes down Windows systems
– Date : 22 Avril 2010
– Gravité : Moyenne
– Description :
Un mois après BitDefender, c’est au tour de McAfee de faire les frais d’un faux positif.
Suite à l’installation sur Windows XP SP3 de la mise à jour référencée DAT 5958 correspondante aux signatures de l’antivirus McAfee, le programme c’est mis à confondre l’exécutable système "scvhost.exe" avec le virus référencé "W32/Wecorl.a" par l’éditeur.
En installant cette mise à jour, les ordinateurs affectés redémarraient sans cesse... L’éditeur, qui a vivement réagi, propose une solution de secours aux utilisateurs affectés, qui sont pour la plupart des grands comptes.
La solution proposée est de télécharger depuis un système fonctionnel la nouvelle version du fichier de signature "5959xdat.exe" et de l’enregistrer sur un disque dur externe ou sur une clef USB. Par la suite, il est nécessaire de démarrer le système affecté en mode "sans échec avec le support du réseau" en appuyant sur la touche F8 lors du démarrage de Windows. Depuis cette session, il enfin possible d’installer la nouvelle version des signatures de l’antivirus puis de restaurer le fichier "scvhost.exe".
Les informations complètes de l’éditeur sont accessibles à l’adresse suivante :
https://kc.mcafee.com/corporate/index?page=content&id=KB68780
De nombreuses organisations ont été touchées par cette erreur de McAfee : des gouvernements, des hôpitaux, des écoles et bien sûr des entreprises... L’éditeur a réagi très rapidement dans la journée même de l’incident.
– Référence :
http://community.mcafee.com/thread/24056?tstart=0
https://kc.mcafee.com/corporate/index?page=content&id=KB68780
http://www.mcafee.com/apps/downloads/security_updates/dat.asp?region=us&segment=enterprise
http://isc.sans.org/diary.html?storyid=8671
http://www.zdnet.fr/actualites/informatique/0,39040745,39751069,00.htm
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0488