2016/09/05

Brutta figura per Sophos: il suo antivirus rileva come virus un componente chiave di Windows

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/07 18:30.

Se usate l’antivirus di Sophos su Windows e quando tentate di accedere al vostro computer vi compare una schermata nera o un allarme che segnala che winlogon.exe è infettato da Troj/FarFli-CT, niente panico. È quasi sicuramente un falso allarme causato da un brutto errore di Sophos, i cui antivirus Sophos Anti-Virus per Windows 2000+ 10.3.15 e Sophos Endpoint Security and Control 10.6.3 credono che il file winlogon.exe legittimo di Windows 7 a 32 bit sia un malware.

Il problema è particolarmente fastidioso se l’utente ha impostato l’antivirus in modo che cancelli direttamente i file infetti: in questo caso winlogon.exe verrà cancellato e sarà necessario un ripristino di Windows nel modo descritto qui da Microsoft.

In generale, per rimediare al problema leggete le istruzioni fornite da Sophos. Stavolta l’antivirus fa più danni del virus.


Fonti aggiuntive: Graham Cluley.


15 commenti:

  1. E non è la prima volta che Sophos fa una cosa del genere, un paio di anni fa rilevava (e rimuoveva) come infetti tutti gli applicativi scritti in VB6, da un mio cliente è sparito tutto, non poteva più lavorare!

    RispondiElimina
  2. ma come windows non e' un virus? :)

    RispondiElimina
  3. Ho trovato il link dell'articolo su PMI, eccolo qui .
    L'articolo è di Giacomo Dotta, ma il virgolettato è mio.
    Quindi direi che il lupo perde il pelo ma non il vizio.

    RispondiElimina
  4. #Sto facendo ironia#

    Il GEOS non aveva di questi problemi!
    Solo Windows.

    #Fine modalita' ironica#

    Citazione Nerd su IT Crowd.
    Roy: I'm not a window cleaner!!!
    :-D

    Classic.

    RispondiElimina
  5. Sono almeno 20 anni che puntualmente ogni volta che un antivirus fa questo errore compare la battutona "ma come windows non e' un virus?" non sei originale.

    RispondiElimina
  6. E sì che per rimuovere un malware-ruba-password contenuto in una copia hackerata dell'ultima versione (2.92) di Transmission per Mac (sì, è successo di nuovo...) consigliano di utilizzare il loro antivirus.

    Fonte: Naked Security, https://nakedsecurity.sophos.com/2016/09/01/mac-password-stealing-malware-haunts-transmission-app-again/

    RispondiElimina
  7. Non mi sembra un gran danno, in fondo windows da Vista in su è molto peggio di un virus.

    RispondiElimina
  8. @Fefe
    e' anche di piu' che windows viene considerato tale in base alla definizione di virus. Comunque non sei obbligato a leggere se qualcosa ti infastidisce o ti sembra non originale...

    RispondiElimina
  9. @Guido Pisano
    Senza entrare nel merito sulla attualità del tuo commento, ti faccio notare che la frase "non sei obbligato a leggere se qualcosa ti infastidisce" si potrebbe applicare a una notizia dotata di titolo, per cui uno sa o intuisce di cosa si parla, ovviamente partendo dai suoi pregiudizi. Difficile applicarla a un commento di una riga: un po' come se dicessi: "te lo meriti di essere considerato stupido, non avevi letto che c'è scritto 'stupido chi legge'?"
    Entrando invece nel merito del commento originale, io lo trovo un po' stantio ma del tutto accettabile (anche se capisco che alla millesima ripetizione uno non ne possa più); trovo invece fastidiosa la tua replica dove tra l'altro sembri affermare che se uno legge i tuoi commenti è colpa sua.

    RispondiElimina
  10. C'è poco da ridere, sophos oltre alla figuraccia rischia di dover pagare risarcimenti agli utenti col PC reso inservibile. E gli stessi utenti che magari usano il PC per lavoro e non possono farlo.

    RispondiElimina
  11. Sophos? mai usato, nè per win home nè per win aziendale. Comunque se ha riconosciuto winlogon come virus, già mi è simpatico ;)

    RispondiElimina
  12. Io ho Sophos su Windows 7 ma per fortuna non mi è successo niente del genere.

    RispondiElimina
  13. @aldopaolo
    allora formalmente hai ragione, ma se uno fa una battuta che non ti fa ridere, secondo me non sei obbligato a farglielo notare, anche se la trovi obsoleta e ripetitiva.
    io lo trovo un po' stantio ma del tutto accettabile (anche se capisco che alla millesima ripetizione uno non ne possa più); trovo invece fastidiosa la tua replica dove tra l'altro sembri affermare che se uno legge i tuoi commenti è colpa sua.
    diverso e' il caso se trovi un commento fastidioso, per quanto uno in buona fede possa essere...

    RispondiElimina
  14. L'articolo della KB Sophos parla della sola versione a 32 bit, non anche di quella a 64 bit.
    In tutti i casi e' molto grave perche' anni fa era successo un fatto simile, piu' grave (parti di un gran numero di applicativi, dello stesso OS, e dello stesso Sophos - !! - venivano marcate come infette e messe in quarantena o, a seconda dei settaggi, cancellate) e per risposta Sophos aveva innalzato - a suo dire - esponenzialmente il livello dei controlli incrociati prima di mettere in produzione gli aggiornamenti delle firme. A quanto pare non basta ancora...

    RispondiElimina
  15. FridayChild,

    grazie della correzione, ho aggiornato l'articolo.

    RispondiElimina

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili