Ошибка McAfee приводит к хаосу

БЕЗОПАСНОСТЬ

Обновление сигнатур вирусов стирает доброкачественные программы

Крупному производителю антивирусного ПО компании McAfee приходится отмываться от позора после выпуска обновленных сигнатур вирусов. Эти сигнатуры ошибочно помечали сотни доброкачественных программ как содержащие вирусы с низкой степенью опасности.

Компания McAfee (Санта-Клара, шт. Калифорния, www.mcafee.com) выпустила злополучную версию 4715 файла .DAT, включающего средства определения большого списка новых вредоносных программ. После установки обновления программа отправляла в карантин либо удаляла сотни безобидных - и важных - приложений, в том числе Microsoft Excel, Adobe Systems Macromedia Flash Player и Adobe Update Manager, инсталлятор Google Toolbar.

Ошибка привела к тому, что программы стали помечаться как файлы W95/CTX малоизвестного вируса, поражавшего системы с Microsoft Windows 95 и впервые обнаруженного в 2004 г. Представитель компании заявил, что ошибка была быстро замечена и исправлена в новой версии файла сигнатур вирусов (.DAT 4716), но к тому времени уже был нанесен ущерб некоторым корпоративным пользователям.

Содержащий ошибку файл .DAT 4715 создал проблемы у пользователей, работающих с такими продуктами McAfee, как VirusScan Enterprise, Managed VirusScan, VirusScan Online, LinuxShield и VirusScan для частных лиц. Клиенты, применяющие McAfee OAS (On-Access Scanner), не пострадали. Ошибка породила широкомасштабный хаос в компаниях, которые настроили антивирусные программы на автоматическое удаление угроз.

Йоханнес Ульрих, главный исследователь Центра штормовых предупреждений (Internet Storm Center, http://isc.sans.org) компании SANS, рассказал, что в его подразделение поступили сообщения о серьезном ущербе, нанесенном некоторым корпорациям: "Мы получили сообщения об отправке в карантин или удалении сотен файлов на сотнях компьютеров. Если ваш антивирус был настроен таким образом, чтобы обнаруженные подозрительные файлы отправлялись в карантин, вы можете их восстановить, однако это огромная работа. Трудно подсчитать, сколько компаний пострадало, но в некоторых случаях, как мы знаем, отдельные администраторы столкнулись с проблемами, затронувшими тысячи компьютеров. И проблемы эти были довольно серьезными, поскольку программы удалялись".

В специальном заявлении представители McAfee сообщили, что группа по борьбе с вирусами в чрезвычайных ситуациях (Anti Virus Emergency Response Team, AVERT) работает круглосуточно, чтобы помочь клиентам оценить степень ущерба и восстановить файлы, когда это возможно. В заявлении также говорится, что Managed VirusScan и VirusScan Online имеют средства для просмотра помещенных в карантин файлов и их восстановления. Что касается клиентов, использующих VirusScan Enterprise, то представитель компании подтвердил, что данный продукт не позволяет восстанавливать файлы средствами удаленного доступа.

McAfee выпустила отдельный инструмент, благодаря применению которого пользователи VirusScan Enterprise могут восстановить помещенные в карантин файлы. Он работает со всеми операционными системами, кроме тех, что предназначены для Восточной Азии. Его можно установить с помощью ePO (ePolicy Orchestrator) - продукта McAfee для управления безопасностью компьютеров.

Представитель компании заявил, что AVERT трудится над созданием инструмента восстановления файлов для пользователей ОС на китайском, японском и корейском языках. "Кроме того, - добавил он, - AVERT изучает вопрос, можем ли мы создать инструмент восстановления файлов для тех клиентов, чьи системы настроены на удаление помещенных в карантин файлов".

McAfee - не первый производитель антивирусных средств, которому приходится устранять последствия, вызванные низким качеством обновленных файлов с сигнатурами. В апреле прошлого года компания Trend Micro (www.trend-micro.com) выпустила дефектный файл сигнатур, который вызывал повышенную нагрузку на процессор. Это приводило к замедлению работы компьютеров и возникновению других проблем у некоторых клиентов. В случае с Trend Micro проблемы носили более серьезный характер, поскольку одна из включенных в обновление сигнатур требовала стопроцентной загрузки процессора, что могло привести к зависанию компьютеров пользователей. Дефектный файл с обновлениями был доступен для загрузки на протяжении примерно 90 мин.