FALSO POSITIVO (DURANTE DOS O TRES HORAS) CON LOS DAT 5958 DEL VIRUSSCAN DETECTANDO UNA SUPUESTA VARIANTE DEL VIRUS WECORL
 

Ayer sobre las 17 horas empezaron las llamadas de incidencias sobre detección del virus WECORL, que no se eliminaba con el VirusScan.

Buscando información al respecto, se vió que dicho virus (en su versión inicial) entraba por el mismo agujero que el Conficker, y que podía capturar información así como eliminar ficheros del sistema y dejar el ordenador inoperativo.

Como que parecía que los ordenadores afectados ya tenían el parche MS08-067, pensamos en una mutación o variante de dicho virus, que pudiera entrar por algún nuevo agujero de seguridad aun no conocido (zero DAY), y mientras aumentaban las llamadas, saturando las 20 líneas de SATINFO, e informábamos en el blog con una noticia de emergencia al respecto, http://www.satinfo.es/blog/?p=3644 , con los “primeros auxilios” contra el supuesto virus WECORL.

Pasada hora y media del primer aviso, McAfee nos informó que podía tratarse de un falso positivo de los DAT de ayer tarde, 5958 y que iban a publicar nuevos DAT 5959, sobre las 20 horas (hora peninsular española)

Cambiamos la información a los clientes que nos llamaban, y publicamos la noticia a continuación de la de emergencia en el blog (www.satinfo.es)

Antes de ello, como que íbamos haciendo pruebas de solución provisional, y ya fuera de horas de trabajo, se vio que con los BETADAT diarios ya se resolvía el problema, lo cual se comunicó igualmente en el blog, para quienes estuvieran pendientes de las novedades.

Llegados los nuevos DAT 5959, (los actuales a la hora de escribir esta noticia), se solucionó definitivamente el problema, que causó pánico, stress y quizás algún infarto (nosotros estuvimos a punto !)

Esta noticia informativa se enviará por e-mail a los clientes que están apuntados a dicho servicio, pero sirva también en el blog como adelanto para todos.

Y de nuevo pedir disculpas por parte de McAfee, de este fallo involuntario que tantas molestias causó y que sin duda fue un fallo humano del que esperamos recibir disculpas al mas alto nivel (posiblemente incluso del propio CEO de McAfee).

Suponemos que hoy volveremos a tener muchas llamadas pidiendo explicaciones y que podrán desbordar nuestros medios, por lo que anticipamos esta noticia aquí, hora y media antes de empezar el servicio, para evitar en lo posible dicha saturación y pedimos paciencia y que nos excusen, si ello sucede. Son circunstancias extraordinarias que impiden poder atender personalmente a los mas de 100.000 clientes al mismo tiempo (!)

Solucionar el Problema:

Arrancar en "Modo seguro con funciones de red", descargar el fichero SDAT actual y ejecutarlo, y si se hubiera eliminado el fichero SVCHOST.EXE, reemplazarlo por el de otro ordenador con igual sistema operativo.

También puede copiar dicho fichero SDATxxxx.exe , desde otro ordenador, en un pendrive y, arrancando el sistema en "Modo seguro" el ordenador afectado, ejecutarlo.

NOTA: Si ha desaparecido el SVCHOST.EXE, el ordenador no funcionará del todo, por lo que luego (siempre después de actualizar los DATS), se debe restaurar copiando en la carpeta de sistema (C:\windows\system32\) dicho fichero, bien cogiéndolo de dicha carpeta de otro ordenador con XP SP3 , o bien probando si lo tiene este en C:\windows\servicepackfiles\i386\svchost.exe

Dicha operación de copiado debe hacerse desde MSDOS con un COPY, ya que el copiar y pegar del windows no funcionará por falta de dicho SVCHOST, por ejemplo:

COPY C:\windows\servicepackfiles\i386\svchost.exe C:\WINDOWS\SYSTEM32\

y si se copia desde un pendrive en el que se haya copiado el de otro equipo en el directorio principal del pendrive:

COPY <unidad donde se tenga el pendrive>:\svchost.exe C:\WINDOWS\SYSTEM32\

Si no se encontrara por ninguna parte dicho fichero, siempre cabe lanzar una REPARACION DE SISTEMA, arrancando con el CD de instalación de Windows, proseguir como si se fuera a instalar y, cuando detecta la partición instalada, escoger REPARAR. (Y tras ello lanzar un windowsupdate), pero ello es mas largo, y no hace falta normalmente.

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA   22 de Abril de 2010