Una actualización de las bases de datos de virus de McAfee ha afectado a decenas de miles de ordenadores con Windows XP, principalmente del ámbito corporativo, dejándolos inutilizados y en manos del servicio técnico. El causante ha sido un falso positivo que ha marcado como virus al proceso Svchost.exe, casi nada…
Svchost es un nombre genérico para procesos que se ejecutan desde DLLs (bibliotecas de vínculos dinámicos). Durante el arranque de Windows, este programa examina el registro, crea una lista con los servicios que hay que cargar, y es capaz de ejecutar varios de ellos. De hecho, lo habitual es que haya varias instancias de Svchost ejecutándose, cada uno correspondiente a un grupo de servicios. Sin Svchost, una máquina Windows está literalmente muerta.
Así que cuando los sistemas con Windows XP cargaron la actualización 5958 de las bases de datos de McAfee, estaban casi cometiendo suicidio. En cuanto el antivirus trasteó para “evitar el daño” que podía causar Svchost, identificado como “w32/wecorl.a”, y el usuario reiniciaba… os hacéis una idea. Pero de arrancar, ni sombra. En pocas horas, decenas de miles de máquinas con Windows XP quedaban inutilizadas.
La Facultad de Medicina de la Universidad de Michigan dice que tienen dañados hasta 25.000 ordenadores. Los hospitales de Rhode Island han tenido que posponer operaciones y rechazar a pacientes en sus urgencias en casos que no eran de extrema gravedad. No hay cifras oficiales, pero sumando las quejas de varios organismos y empresas, tranquilamente pueden rozarse las 100.000 máquinas afectadas.
Hay solución para ellas, un parche oficial creado por McAfee, para aquellos a los que aún no les ha afectado el fallo. El problema es que dado el tipo de daño, es necesario que un administrador le dedique unos minutos a cada máquina y restaure Svchost. Echando sencillas cuentas, considerando el número de máquinas afectadas, la cantidad de ellas que el técnico medio tiene a su cargo, y el tiempo a dedicar a cada una, a mi me sale que a los de McAfee les van a pitar las orejas durante unos cuantos meses.
Actualizado: Nos comenta curropar que el parche busca el Svchost en varias rutas alternativas, y que no sería necesario restaurar el archivo a mano. ¡Gracias por el aviso!
Sitio oficial | McAfee (aviso, análisis y parche)
Más información | Engadget, CNet, Microsoft (Svchost)