Tietoturva nyt!

21.4.2010

McAfeen viallinen tunniste vaurioittaa Windows XP -pohjaisia järjestelmiä

McAfeen virustorjuntaohjelmiston vialliset virustunnisteet vaurioittavat Windows XP-järjestelmiä. Virheellisten tunnisteiden takia Windows XP (SP3) käyttöjärjestelmän komponentti svchost.exe tunnistuu haittaohjelmana w32/wecorl.a ja tietokone käynnistyy uudelleen kuudenkymmenen sekunnin kuluttua.

McAfeen virustorjuntaohjelmistolle jaettiin virheelliset virustunnisteet. Virustunnisteissa olevan virheen vuoksi Windowsin järjestelmäkomponentti svchost.exe tunnistuu haittaohjelmana nimeltä w32/wecorl.a. Svchost.exe on olennainen osa Windows-järjestelmiä, jonka avulla Windows suorittaa erilaisia toimintoja ja palveluja.

Saamiemme tietojen mukaan vialliset virustunnisteet ovat numeroltaan 5958 ja niitä on alettu jakaa yhtiön palvelimilta virustorjuntaohjelmistoille keskiviikkona 21. huhtikuuta. Viallisen virustunnisteen seurauksena tietokone antaa virheilmoituksen ja käynnistyy uudelleen kuudenkymmenen sekunnin kuluttua. Alustavien tietojen mukaan vain Windows XP Service Pack 3:n mukana tuleva svchost.exe tunnistuu haittaohjelmana.

Uudelleenkäynnistymisen voi keskeyttää kirjoittamalla komentokehoitteeseen tai "suorita" toimintoon "shutdown -a". Suorita-toiminto löytyy Windowsin Käynnistä-valikosta. McAfee on julkaissut ongelmaa rajoittavan korjaustiedoston EXTRA.DAT, sekä ohjeet korjaustiedoston käyttöönottoon ja svchost.exe:n palauttamiseksi virustorjuntaohjelmiston karanteenista.

Virheellisten tunnisteiden aiheuttamalta ongelmalta voi myös välttyä olemalla asentamatta virheelliset tunnisteet, sekä määrittelemällä virustorjuntaohjelmistoon svchost.exe:lle poikkeussäännön jonka mukaan sitä ei tarkisteta.

McAfee on laittanut jakeluun uudet virustunnisteet joissa ongelma on korjattu.

Lisätietoa

https://kc.mcafee.com/corporate/index?page=content&id=KB68780
http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=265240#none
http://isc.sans.org/diary.html?storyid=8656

Sivua päivitetty 21.04.2010

Tulostusversio