Publicado por Copán Galel el Apr 23, 2010 en:
Informatica,
Seguridad,
Windows 
Una actualización de las bases de datos de virus de McAfee ha afectado a decenas de miles de computadoras con Windows XP, principalmente del ámbito corporativo, dejándolos inutilizados y en manos del servicio técnico. El causante ha sido un falso positivo que ha marcado como virus al proceso Svchost.exe, casi nada…
Svchost es un nombre genérico para procesos que se ejecutan desde DLLs (bibliotecas de vínculos dinámicos). Durante el arranque de Windows, este programa examina el registro, crea una lista con los servicios que hay que cargar, y es capaz de ejecutar varios de ellos. De hecho, lo habitual es que haya varias instancias de Svchost ejecutándose, cada uno correspondiente a un grupo de servicios. Sin Svchost, una máquina Windows está literalmente muerta.
Así que cuando los sistemas con Windows XP cargaron la actualización 5958 de las bases de datos de McAfee, estaban casi cometiendo suicidio. En cuanto el antivirus trasteó para “evitar el daño” que podía causar Svchost, identificado como “w32/wecorl.a”, y el usuario reiniciaba… Haganse esa idea. Pero de arrancar, ni sombra. En pocas horas, decenas de miles de máquinas con Windows XP quedaban inutilizadas.
Leer mas…
Tags: Antivirus, Malware, McAfee, procesos
Publicado por Copán Galel el Feb 6, 2010 en:
Informatica,
Seguridad 
La historia tiene miga. Kaspersky ha demostrado que sus competidores no analizan los malwares, tan sólo se limitan a generar una firma y añadirla a sus bases de datos de archivos perjudiciales.
Para ello, han utilizado el servicio VirusTotal, una web de Hispasec que permite analizar archivos sospechosos, utilizando los motores de varios antivirus. Para ello, han enviado 20 archivos falsos, no infectados, a VirusTotal… y han configurado su motor para que en diez de ellos, Kaspersky dé positivo.
De esa forma, en los resultados de VirusTotal, Kaspersky era el único que detectaba el (falso) virus. Y aquí viene la jugada maestra: como VirusTotal envía estos archivos sospechosos a los motores que no los han detectado, para que tengan constancia de nuevas amenazas, varios de los competidores de Kaspersky han empezado a dar positivos con esos falsos virus. Es decir, no se han molestado en analizar la amenaza: si Kaspersky afirma que es un virus, pues ellos también.
Algunos antivirus empezaron a dar (falsos) positivos en menos de diez días. Lo peor: que entre las que han picado hay empresas tan importantes como McAfee, Symantec, AVG, F-Secure o Fortinet, junto con otras menos populares como a-squared, AntiVir, Antiy-AVL, Comodo, Ikarus, TheHacker, Sunbelt o VBA32.
Leer mas…
Tags: Antivirus, ESET, Kaspersky, Malware, McAfee, symantec
