Cerca nel blog

2006/03/13

McAfee, quando l’antivirus è peggio del virus

Questo articolo vi arriva grazie alle gentili donazioni di "enrico.tesei" e "a.villa".

Un aggiornamento difettoso del popolare antivirus di McAfee, distribuito il 10 marzo scorso, ha cancellato numerosi file di Microsoft Office e di altri programmi dai computer degli utenti di questo antivirus, ritenendoli erroneamente infetti dal virus W95/CTX.

Secondo l'analisi di Realtechnews.com, a seconda delle impostazioni del singolo utente, l'aggiornamento numero 4715 di McAfee ha preso a mettere in quarantena o a cancellare direttamente i file eseguibili di Excel e di altre applicazioni (ossia i programmi stessi, non i documenti generati da questi programmi).

Fra gli altri programmi devastati dallo svarione antivirale ci sono Graph.exe (programma Microsoft), AutoCAD, Macromedia, MySQL, Photoshop, Visual Studio e il programma di aggiornamento di Acrobat. Tutti sono stati interpretati dall'antivirus McAfee come virus e sono stati pertanto eliminati o messi in quarantena. Un elenco parziale dei file colpiti è stato pubblicato da McAfee.

L'errore è stato corretto, ma ormai per molti utenti di questo antivirus il danno è fatto: ci sono centinaia e in alcuni casi migliaia di file .DLL e .EXE da ripristinare, e quasi sempre la soluzione più efficace è l'uso di un punto di ripristino o di un backup del sistema. Per chi li ha fatti, s'intende.

McAfee ha pubblicato rapidamente delle istruzioni per il ripristino dei file danneggiati dal suo antivirus. L'Internet Storm Center ha raccolto altre informazioni e le testimonianze infuriate dei responsabili informatici delle reti aziendali.

Ciliegina sulla torta, il difetto dell'antivirus ha generato un improvviso aumento di segnalazioni d'infezione, come se ci fosse in corso un attacco virale massiccio, e questo ha indotto molti responsabili di sistema a lanciare immediatamente una scansione completa, col risultato di peggiorare le cose. L'attacco virale c'era, ma era perpetrato dall'antivirus.

Un disastro. Cosa ancora più deprimente, McAfee dice che queste cose càpitano spesso: "McAfee solitamente deve rilasciare in emergenza un file di definizione di virus una volta ogni tre mesi a causa del problema dei falsi positivi" (file innocui che vengono erroneamente identificati come infetti).

Incidenti come questo fanno riflettere sulla natura degli attuali antivirus basati su file di definizione, ossia su "schede segnaletiche" che catalogano le caratteristiche di ogni singolo virus e che pertanto richiedono aggiornamenti continui, man mano che vengono creati nuovi virus. Un antivirus è un programma al quale diamo quotidianamente accesso totale al nostro computer e che altrettanto quotidianamente viene modificato, spesso di fretta, e distribuito via Internet. Non è un modo di operare molto rassicurante.

Questo non vuol dire che si debba rinunciare all'antivirus. Per chi usa Windows e non fa parte di una rete aziendale, l'antivirus installato localmente è praticamente una necessità per sopravvivere, è un "piuttosto che niente, meglio piuttosto", è l'unico rimedio possibile finché i sistemi operativi e le applicazioni non si decideranno a includere adeguate salvaguardie integrate che impediscano all'utente di eseguire qualsiasi cosa riceva via Internet. E' un principio che vale, in misura minore, anche per Mac OS X e Linux.

L'antivirus locale rimane una necessità anche perché gli utenti hanno troppo spesso il vizio di aprire gli allegati senza porsi dubbi e scaricare e installare software di provenienza discutibile. Contro questi malcostumi, l'antivirus è l'ultima, preziosa linea di difesa. In realtà ce ne sarebbe un'altra, ossia l'antivirus da installare su un server dedicato (non basato su Windows), che siede come un filtro su tutte le connessioni verso l'esterno, bloccando tutti i file sospetti prima ancora che arrivino ai PC che potrebbero infettare, ma è una soluzione applicabile soltanto in una rete di computer consistente, non certo nella situazione dell'utente domestico medio.

La lezione di questo disastro è che se scegliete di usare un antivirus, è opportuno assicurarsi che sia impostato in modo da mettere in quarantena i file ritenuti infetti invece di cancellarli, e mantenere sane abitudini preventive: prudenza con qualsiasi file ricevuto dall'esterno e backup frequenti.

7 commenti:

Fab ha detto...

Brutta roba, purtroppo come dici tu ogni tanto gli AV hanno questo genere di problemi, di solito molto più circoscritti di questo qui - sono dovuti spesso alle routine che si occupano di scompattare i file compressi con i packer, da quanto ho modo di sapere.
Questo è un incidente strano, ma come dicono oltre oceano, "sh** happens". Il metodo delle impronte virali è un concetto primitivo, ma ha un vantaggio che nella security è decisivo: dato un tempo sufficiente, finora ha funzionato il 100% delle volte. Non è detto che sarà sempre così, naturalmente.
Le ragioni per cui gli AV sono utili, però, secondo me non sono sempre da accollare agli utenti: penso a Code Red, Slammer, Slapper e simili. In quei casi l'utente poteva fare ben poco e gli servivano sia un AV che un personal firewall. per difendersi.

ercoppa ha detto...

Ma ancora sto winzoz, usate GNu/linux che è free (libero), stabile, potente, sicura al 99 % e ultimamente anche facile!!!

greenkey ha detto...

ma che c'entra il Dottor Emmet Brown? Era solo per l'espressione, oppure vuoi dire che usiamo metodi vecchi di 30 anni?

Paolo Attivissimo ha detto...

Refuso sistemato. Sì, Doc l'ho scelto solo per l'espressione sconvolta... e perché spero entro il mese di fare un giro in una DeLorean :-)

greenkey ha detto...

invidia invidia invidia invidia invidia invidia...

vogliamo le foto, e a tal proposito ti invito a cercare su internet (qualora tu non l'avessi già fatto) tutti i siti che ne parlano, ricordo di aver trovato anche un sito che spiegava come procurarsi una DeLorean in Italia, ci se la si può cavare con relativamente poco...

invidia invidia invidia invidia invidia invidia...

Anonimo ha detto...

> spero entro il mese di fare un giro
> in una DeLorean

E poi vorresti farci credere che non ricevi soldi dalla CIA. :-)

Paolo Attivissimo ha detto...

Se riesco davvero a fare un giro in DeLorean, le foto le avrete eccome!

Soldi dalla CIA? Se ho una DeLorean, me li faccio dare dall'OSS :-)

(aiutino: http://en.wikipedia.org/wiki/Cia)