W ciągu ostatnich dwóch miesięcy dwie duże firmy antywirusowe spowodowały niemały chaos na systemach użytkowników PC. Przyczyną były niepoprawne aktualizacje, które wskazywały, że programy wchodzące w skład Windows, takie jak explorer.exe, są “szkodnikami”.
W sierpniu mieliśmy okazję się przekonać, że McAfee dzięki swojej aktualizacji z poniedziałku, 4-tego, uznał, że Office Live Meeting Microsoftu jest trojanem. Chodziło o plik LMCAPI.exe, komponent Live Update. Osoby, które miały okazcję otrzymać taką niespodziankę od McAfee dowiadywały się, że program dostarczany przez Microsoft jest szkodnikiem o nazwie Swizzor. W rezultacie plik był kasowany.
Mimo, że jak potwierdziła to firma w oficjalnym komunikacie prasowym, problem dotknął jedynie małego procenta użytkowników, administratorzy systemów musieli dystrybuować nowe wersje Live Update, a także poprawiony plik DAT dla skanera.[1][2]
Inny przypadek zdarzył się w piątek, 5-tego września, kiedy Trend Micro zidentyfikował wiele kluczowych elementów systemu Windows jako trojany. W rezultacie utraty kluczowych plików system stawał się niestabilny, nierzadko powodując restart maszyny. Trend poprawił swój błąd jeszcze tego samego dnia, ale zostawił wielu użytkowników z problemem naprawy systemu operacyjnego.
W tym wypadku, Trend Micro Internet Security wskazywał na robaka Troj_Generic.ADV, jakoby znajdującego się w wielu plikach DLL. Efektem mogł być brak paska zadań, wiele aplikacji uruchamiających się przy starcie nie uruchamiało się, aplikacje takie jak Word czy Excel pokazywały różne błędy.[3]
To tylko dwa przykłady, z całej palety błędów producentów oprogramowania antywirusowego. Do klasyki można zaliczyć Kasperskiego traktującego Windows Explorer jako szkodnik, AVG podobnie traktującego Adobe Reader, a CA i McAfee nie pozwalającego na uruchomienie nieszkodliwego kodu JavaScript.
Problem zdaje się nie istnieć na pojedynczych komputerach domowych, choć może być bardzo dokuczliwy. Prawdziwy problem dotyka firmy, które instalują oprogramowanie antywirusowe na wszystkich komputerach w firmie. W takim wypadku, incydent z Trend Micro mógłby zakończyć się prawdziwym paraliżem niejednego biura.
Jest kilka metod, które mogą zabezpieczyć nas przed wpadkami innych firm. Jedną z nich jest dystrybuowanie uaktualnień z własnego systemu, nie z systemu producenta (na zasadzie działania Windows Update + SMS’y). Przy takim rozwiązaniu warto posiadać komputer, na którym mamy zainstalowane wszystkie najpopularniejsze programy używane w firmie i traktować go jako poligon doświadczalny dla nowych aktualizacji.
Ostatnie komentarze