Bebugolta a Windowst?

Vírusvadász-baleset: bakizott a McAffe

Súlyos téves riasztást tartalmazott az amerikai McAfee cég VirusScan Enterprise nevű termékéhez nemrég kiadott 5958-es sorszámú DAT vírusismereti adatbázis, amely Wecorl.a kártevőként azonosítja a Windows XP SP3 operációs rendszer egyik fontos fájlját.

2010.04.23 10:33virushirado.hu
nyomtatásKinyomtatom
beszélj rólaFórumozok róla
+Nagyobb betűméret-Kisebb betűméretbetűméret

Az érintett General Service Host (svchost.exe) folyamat a Windows fő alkotóelemei közé tartozik és nevét gyakran bitorolják veszélyes kártevők. A valódi, Microsoft gyártmányú folyamat viszont nélkülözhetetlen, így általában több példányban is fut - törlése vagy karanténba való áthelyezése pedig lehetetlenné teszi a gép következő bekapcsolását, sikeres újraindulását.

A helyreállítás ezután gyakran kézi munkát igényel, ahogy ez sok felhasználónál megtörtént. Egy iskolakerület rendszergazdája a gyártói webfórumon arról panaszkodott, hogy közel 5000 gépet nem tudnak használni, míg egy vállalati informatikus szerint náluk a flotta 30%-a érintett - részben azért, mert a személyzet a problémáról értesülve sietségében működő gépeket is leválasztott a hálózatról.

Jelenleg ez is benne van a pakliban

Hasonló probléma elvileg nem fordulhatna elő, az elmélet és a gyakorlat között azonban csak elméletben nincs eltérés - pedig az adatbázisok tesztelésére minden antivírus gyártó kiemelt figyelmet fordít. Egy elterjedt rendszer- vagy programfájlt érintő téves riasztás ugyanis üzleti és intézményi felhasználók esetében akár több kárt okozhat, mint egy valódi kártevő és az ilyen eset mind terméktámogatási, mind PR-szempontból igazi rémálomnak minősül. Sajnos az új kártevő-változatok jelenlegi napi tízezres megjelenési üteme mellett csak korlátozott idő áll rendelkezésre az újonnan készült vírusismereti fájlok teszteléséhez, ami még több száz gépből álló ellenőrző PC-farm esetén is kevésnek bizonyulhat - az idő szűke pedig felerősíti az emberi tényező okozta hibákat.

Szerencsére a megbízhatóság növelésére többféle megoldás kínálkozik. A McAfee laborja jelen esetben először egy EXTRA.DAT nevű helyesbítő fájl kiadásával válaszolt, hogy hamarabb segíthessen, mint ahogy a teljes mértékben újratesztelt 5959-es adatbázist közzétehették volna. Ez azonban nem teljes megoldás azoknak, akiket már elért a rendszerindítási probléma - nekik gyakran az svchost.exe fájl is vissza kell másolniuk valahogy.

Ez csak vPro távmenedzsmentre képes modern alaplapok esetén lenne egyszerű feladat egy nagyobb cégnél, ezért a többi üzemeltetőnek a McAfee később egy SuperDAT nevű, helyben futtatható automatikus javításra képes fájl közzétételével segített - éjszaka pedig már a teljes, javított 5959-es adatbázis is megjelent.

A cikk Itt Folytatódik!

Kapcsolódó írások:

Amennyiben a Könyjelző eszköztárába szeretné felvenni az oldalt, akkor a hozzáadásnál a Könyvjelző eszköztár mappát válassza ki. A Könyvjelző eszköztárat a Nézet / Eszköztárak / Könyvjelző eszköztár menüpontban kapcsolhatja be.