De software update die antivirusbedrijf McAfee woensdagmiddag 21 april uitbracht, en die per abuis een essentieel Windows-systeembestand uitschakelt, is voorlopig alleen handmatig herstelbaar. Dat zegt beveiligingsadviseur Bart Schultink van 'McAfee-specialist' Medusoft. McAfee kwam vanochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. De fabrikant zoekt organisaties die de tool willen testen.
De adviseur legt uit wat momenteel het probleem is: 'Machines die zijn beschadigd door de update blijven maar herstarten.'Dat maakt het heel moeilijk om ze vanuit het netwerk te repareren. Vaak is er niet genoeg tijd om het herstelbestand uit te voeren. Met gespecialiseerde beheersoftware van bijvoorbeeld Altiris is wel een deel van de machines op afstand te repareren.'
Maar dan nog is een deel van de machines momenteel niet op afstand te repareerbaar. 'Systeembeheerders moeten deze machines allemaal een bezoekje brengen, een DOS-venster openen en het rebooten onderbreken met het commando 'shutdown -a'. Vervolgens draait de beheerder het herstelbestand van McAfee, dat het Windows systeembestand svchost.exe terugzet, en de virusdefinitie van het w32/wecorl.a-virus zodanig aanpast, dat het niet meer svchost.exe onschadelijk maakt.'
Alleen Windows XP SP3-machine vatbaar
Een batch-bestand uitrollen dat hetzelfde doet vanuit het netwerk werkt niet, want timing is essentieel. 'De pc's die de problemen vertonen laten een aftelvenster zien, dat zestig seconden aftelt. Vanuit het netwerk is dat niet zichtbaar.'
Volgens Schultink zijn alleen Windows XP SP3-machines vatbaar voor het probleem. 'Dat heeft te maken met de hash value van het bestand. Die is voor XP SP3 net iets anders, waardoor de McAfee-update het systeembestand aanzag voor een virus.'
Testronde
McAfee kwam deze ochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. 'McAfee zoekt naar kandidaten om de tool te testen' zegt verkoopdirecteur Erik Remmelzwaal. 'Klanten mogen ons aanschrijven (support@medusoft.eu), om aan deze testronde deel te nemen.'
REPARATIEINSTRUCTIES VOOR ZAKELIJKE KLANTEN
Stap 1: Download de Recovery SuperDAT van http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe op een werkende computer en sla het op, op een draagbaar medium zoals een USB stick.
Stap 2: Start het getroffen systeem in Veilige Modus (Safe Mode). Dit doe je door tijdens het opstarten op F8 te drukken en te kiezen voor veilige modus.
Stap 3: Kopieer SDAT5958_EM.EXE vanaf de USB-stick naar het bureaublad.
Stap 4: Start SDAT5958_EM.exe vanaf het bureaublad.
Stap 5: Open 'Deze Computer' en navigeer naar to C:Program FilesMcAfeeVirusScan.
Stap 6: Verwijder de map genaamd 'DAT'.
Stap 7: Herstart de computer in de normale modus (dus zonder F8).
Stap 8: Na de herstart klik je met de rechtermuistoets op het McAfee-ikoontje en kies je voor handmatige controle op nieuwe DAT-bestanden om de meest recente versie te downloaden.
Wanneer de aangeboden procedures geen werkzame computer opleveren, neem dan contact op met McAfee, of met de computerleverancier.
Bron: McAfee-specialist Medusoft
Het probleem, de omvang van de blunder EN EEN WERKENDE OPLOSSING worden nogmaals duidelijk geschetst het artikel ‘SvcHostFix voor het McAfee probleem’ op http://www.bewired.nl.
simpelste oplossing vond ik:
– goede SVCHOST op USB zetten
– probleem-pc in veilige modus opstarten
– naar de DOS prompt
– copy USBsvchost.exe c:windowssystem32*.*
– exit
– computer opnieuw opstarten, klaar
Kijkend naar de reacties vraag ik me serieus af hoe deze mensen beheer van hun software ingeregeld hebben.
In de professionele omgevingen die ik gewend ben, worden eerst of geïsoleerd, of door enkele pilot-of keygebruikers de nieuwe patches getest (ongeacht of het nu McAffee, Microsoft of een andere leverancier is). Pas als deze testen geen ongewenste effecten opleveren, dan wordt in delen de software uitgerold.
Mocht er dan toch nog een addertje onder het gras zitten, dan ligt in ieder geval niet het hele bedrijf in één keer plat.
Begin jaren 90 kreeg ik van een vriend een kopie van Doctor Solomon. Ik was meteen verkocht en kocht een licentie; tot vandaag. Ik weet niet wat ik nu moet doen. Mijn laptop is niet meer aanspreekbaar. Ik heb via de dosprompt wel cruciale bestanden kunnen kopieren naar een usb-stick. Hopelijk is de oplossing snel beschikbaar en komt McAfee met een mooi gebaar naar de klanten.
Toegegeven; ik vind het nog steeds een kei van een programma!
PaVaKe heeft gelijk. Bij een wat groter bedrijf ga je met updates anders om dan bij een klein bedrijf of als particulier.
Je wilt toch niet riskeren om met een USB stick of een Ubuntu CD-ROM langs honderden of zelfs duizenden PC’s te moeten gaan omdat ze ook niet meer vanaf het netwerk te bereiken zijn. En de gebruikers maar moeten wachten totdat jouw mensen langskomen om de PC’s weer aan de praat te krijgen.
Dus altijd testen. Dat geeft geen 100% garantie, maar verkleint de kans op problemen aanzienlijk.
Wat een ongelooflijke mega-blunder van McAfee! Naast de frustratie van het uuuurenlang zoeken en vogelen (als betrekkelijke leek, zonder internet beschikbaar!) ook de totale verbazing van hoe McAfee zo’n virus (!) heeft kunnen verspreiden.
Lekker, zo’n betaalde virusscanner….
@Pavake:
Ja dat zou normaliter ook het geval is als het om patches gaat, echter in dit geval gaat het om een virusdefinitie. Je kunt toch moeilijk bij elke x uur(update interval) alle virusupdates gaan testen?
Dat zou wel kunnen maar in die tijd wanneer je die updates getest hebt kunnen dus er al virussen zijn die niet herkent worden..
Dus je moet als bedrijf erg ens een keuze gaan maken: ga ik wachten totdat ik zeker weet dat de definities goed getest zijn met het risico dat er in die tijd nieuwe virussen door je systeem slippen, of ga je de definities meteen toelaten zodat nieuwe virussen worden tegengehouden met risico dat de virusscanner je systeem om zeep helpt. Welk risico nou is groter??
Bij McAfee weten ze dat een False positive reactie op een programmabestand net zo vervelend kan zijn als een False negative reactie op een geïnfecteerd bestand. Makers van antivirus software proberen de balans te vinden tussen de twee soorten fouten.
Ze testen de virus signatures dan ook met heel veel bestanden van programma’s en besturingssystemen in meerdere taalversies inclusief de updates. De makers van antivirus software kunnen dat natuurlijk alleen doen met algemeen verspreide software en besturingssystemen. Een beheerder moet dat met legacy software doen. Het gaat altijd wel een keer fout. Een False positive bij svchost.exe is wel een blunder te noemen.
Als beheerder en gebruiker kan je meestal ook beslissen of bij een (false) positieve reactie, het betreffende bestand meteen apart wordt gezet dan wel gewist, of dat je eerst alleen een waarschuwingssignaal krijgt. In de meeste gevallen kies ik voor het laatste.
@jank
het sleutelwoord is balans denk ik. Voor het één (bijv. de microsoft patches) zul je een langer testtraject doorlopen dan voor de ander (bijv. de mcaffee patches)
Maar in ieder geval de basisfunctionaliteit testen na het installeren lijkt mij toch een minimale vereiste voor je zo’n grote uitrol doet.
Wat is duurder: 2 uurtjes test-tijd investeren, met het risico dat het laatste virus je netwerk binnendringt, of mensen die langere tijd niet kunnen werken omdat de update je pc platlegt ?
Daarbij: hoe groot is de kans dat het virus je netwerk opkomt. Het hangt natuurlijk af van de omgeving, maar als mensen gewoon hun werk doen met de voor hun aangewezen applicaties, gebeurt er niet zo snel iets. Voor scholen bijv. zal die kans groter zijn, maar voor bedrijven zou dit risico niet groot mogen zijn.
De balans is dan bepaald niet in het voordeel van Mc Afee doorgeslagen. Ik vermoed dat velen afscheid van deze scanner zullen nemen.