Cerca nel blog

2016/09/05

Brutta figura per Sophos: il suo antivirus rileva come virus un componente chiave di Windows

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/07 18:30.

Se usate l’antivirus di Sophos su Windows e quando tentate di accedere al vostro computer vi compare una schermata nera o un allarme che segnala che winlogon.exe è infettato da Troj/FarFli-CT, niente panico. È quasi sicuramente un falso allarme causato da un brutto errore di Sophos, i cui antivirus Sophos Anti-Virus per Windows 2000+ 10.3.15 e Sophos Endpoint Security and Control 10.6.3 credono che il file winlogon.exe legittimo di Windows 7 a 32 bit sia un malware.

Il problema è particolarmente fastidioso se l’utente ha impostato l’antivirus in modo che cancelli direttamente i file infetti: in questo caso winlogon.exe verrà cancellato e sarà necessario un ripristino di Windows nel modo descritto qui da Microsoft.

In generale, per rimediare al problema leggete le istruzioni fornite da Sophos. Stavolta l’antivirus fa più danni del virus.


Fonti aggiuntive: Graham Cluley.


15 commenti:

alberto cz ha detto...

E non è la prima volta che Sophos fa una cosa del genere, un paio di anni fa rilevava (e rimuoveva) come infetti tutti gli applicativi scritti in VB6, da un mio cliente è sparito tutto, non poteva più lavorare!

Guido Pisano ha detto...

ma come windows non e' un virus? :)

alberto cz ha detto...

Ho trovato il link dell'articolo su PMI, eccolo qui .
L'articolo è di Giacomo Dotta, ma il virgolettato è mio.
Quindi direi che il lupo perde il pelo ma non il vizio.

Pax ha detto...

#Sto facendo ironia#

Il GEOS non aveva di questi problemi!
Solo Windows.

#Fine modalita' ironica#

Citazione Nerd su IT Crowd.
Roy: I'm not a window cleaner!!!
:-D

Classic.

Fefe ha detto...

Sono almeno 20 anni che puntualmente ogni volta che un antivirus fa questo errore compare la battutona "ma come windows non e' un virus?" non sei originale.

Leonardo ha detto...

E sì che per rimuovere un malware-ruba-password contenuto in una copia hackerata dell'ultima versione (2.92) di Transmission per Mac (sì, è successo di nuovo...) consigliano di utilizzare il loro antivirus.

Fonte: Naked Security, https://nakedsecurity.sophos.com/2016/09/01/mac-password-stealing-malware-haunts-transmission-app-again/

Filippo Citati ha detto...

Non mi sembra un gran danno, in fondo windows da Vista in su è molto peggio di un virus.

Guido Pisano ha detto...

@Fefe
e' anche di piu' che windows viene considerato tale in base alla definizione di virus. Comunque non sei obbligato a leggere se qualcosa ti infastidisce o ti sembra non originale...

Anonimo ha detto...

@Guido Pisano
Senza entrare nel merito sulla attualità del tuo commento, ti faccio notare che la frase "non sei obbligato a leggere se qualcosa ti infastidisce" si potrebbe applicare a una notizia dotata di titolo, per cui uno sa o intuisce di cosa si parla, ovviamente partendo dai suoi pregiudizi. Difficile applicarla a un commento di una riga: un po' come se dicessi: "te lo meriti di essere considerato stupido, non avevi letto che c'è scritto 'stupido chi legge'?"
Entrando invece nel merito del commento originale, io lo trovo un po' stantio ma del tutto accettabile (anche se capisco che alla millesima ripetizione uno non ne possa più); trovo invece fastidiosa la tua replica dove tra l'altro sembri affermare che se uno legge i tuoi commenti è colpa sua.

Il Lupo della Luna ha detto...

C'è poco da ridere, sophos oltre alla figuraccia rischia di dover pagare risarcimenti agli utenti col PC reso inservibile. E gli stessi utenti che magari usano il PC per lavoro e non possono farlo.

rico ha detto...

Sophos? mai usato, nè per win home nè per win aziendale. Comunque se ha riconosciuto winlogon come virus, già mi è simpatico ;)

Olivier ha detto...

Io ho Sophos su Windows 7 ma per fortuna non mi è successo niente del genere.

Guido Pisano ha detto...

@aldopaolo
allora formalmente hai ragione, ma se uno fa una battuta che non ti fa ridere, secondo me non sei obbligato a farglielo notare, anche se la trovi obsoleta e ripetitiva.
io lo trovo un po' stantio ma del tutto accettabile (anche se capisco che alla millesima ripetizione uno non ne possa più); trovo invece fastidiosa la tua replica dove tra l'altro sembri affermare che se uno legge i tuoi commenti è colpa sua.
diverso e' il caso se trovi un commento fastidioso, per quanto uno in buona fede possa essere...

FridayChild ha detto...

L'articolo della KB Sophos parla della sola versione a 32 bit, non anche di quella a 64 bit.
In tutti i casi e' molto grave perche' anni fa era successo un fatto simile, piu' grave (parti di un gran numero di applicativi, dello stesso OS, e dello stesso Sophos - !! - venivano marcate come infette e messe in quarantena o, a seconda dei settaggi, cancellate) e per risposta Sophos aveva innalzato - a suo dire - esponenzialmente il livello dei controlli incrociati prima di mettere in produzione gli aggiornamenti delle firme. A quanto pare non basta ancora...

Paolo Attivissimo ha detto...

FridayChild,

grazie della correzione, ho aggiornato l'articolo.