Normaliter worden signatures getest voordat ze worden uitgestuurd. Het blijkt echter dat Windows XP met VSE 8.7 niet is meegenomen in de tests van McAfee. Dit meldt ZDnet meldt op basis van een intern FAQ-document van die leverancier. De reden voor dit testgebrek is nog onduidelijk. Windows XP SP3 is op dit moment het meestgebruikte besturingssysteem ter wereld op zakelijke desktops.

Volgens de openbare McAfee Q&A is het probleem overigens al wel in een vroeg stadium ontdekt, maar is het foute DAT-bestand er toch doorheen geglipt. Zeker is dat McAfee de komende tijd heel wat zal moeten uitleggen wil het niet veel klanten verliezen. Het bedrijf heeft ook beloofd dat te doen.

Windows-onderdeel in quarantaine

De foute update van McAfee plaatst een kritiek Windows-onderdeel in quarantaine. Gebruikers van die security-software hebben een slechte week. De dagelijkse updates van de signatures van de beveiliger, die het relatief ongevaarlijke W32/wecorl.a virus moest neutraliseren, ging woensdagmiddag helemaal mis.

Op Windows XP met service pack 3 (SP3) werd het bestand svchost.exe aangewezen als malware en dus direct in quarantaine gezet. De daardoor getroffen machines komen vervolgens in een reboot-loop terecht. Bovendien verloren de machines hun netwerkverbinding, waardoor oude tijden herleefden: systeembeheerders moeten met usb-sticks langs de werkstations om de schade te herstellen.

Reboot-loop

Het gaat vooral om machines met Windows XP SP3. Er zijn echter ook enkele meldingen dat Vista is aangetast. XP met SP1 en SP2, maar ook Windows 2000 en Windows 7 zijn helemaal buiten schot gebleven. Ironisch is ook dat de foute update alleen klanten heeft getroffen die hun McAfee-software helemaal up-to-date hadden.

Daarnaast moet er in die antivirussoftware een optie aanstaan die het hele geheugen van de computer scant na het automatisch updaten. Normaal gesproken heeft dat meerwaarde omdat virussen daarmee sneller worden herkend. Nu heeft het gebruik van deze optie - door de foute update - echter direct tot een reboot geleid. De system restore-functie van Windows zet het ontbrekende bestand vervolgens weer terug, waarna McAfee het weer verwijdert, wat weer tot een reboot leidt.

Achterlopen was nu veiliger

Updates van signatures worden liefst zo snel mogelijk verspreid naar computers, om op die manier zo goed mogelijk bescherming te bieden tegen virussen. Erik Remmelzwaal van McAfee-specialist Medusoft stelt dat het van het grootste belang is dat dit inderdaad zo snel mogelijk gebeurt.

Maar blijkbaar updaten de bedrijven die niet getroffen zijn hun signatures niet snel, zegt hij. Nu zijn ze met de schrik vrijgekomen. Volgens Remmelzwaal zijn die organisaties zich er niet van bewust dat ze erg veel risico lopen door niet up-to-date te zijn. Dit geldt overigens niet alleen voor klanten van McAfee.

‘Schade valt mee’

Remmelzwaal stelt dat de schade nog meevalt. Uit een onderzoek dat Medusoft heeft gedaan, blijkt dat 45 procent van de bedrijven problemen heeft gehad, en dat 5 procent van de systemen in de gevreesde loop is terechtgekomen. “Natuurlijk valt het niet mee voor de bedrijven die wel getroffen zijn", zegt hij, "maar je zou denken dat alle bedrijven problemen zouden hebben. Dat is dus niet het geval en dat valt ons mee.”

De herstelprocedure valt niet mee, aldus Remmelzwaal. Beheerders moeten de hersteltool van McAfee draaien, vanaf een usb-stick, en dat moet in de safe mode van Windows gebeuren. Remmelzwaal gelooft niet dat dit 30 minuten zal duren, maar systeembeheerders moeten wel alle machines langs. Al zijn er ook bedrijven geweest die het herstelwerk via het netwerk hebben kunnen doen.

Bron: Techworld.nl.