Journée noire pour McAfee, mais surtout pour les malheureux utilisateurs ou malheureuses sociétés ayant une politique de mise à jour antivirale "efficace".
En effet, ce Mercredi 21 Avril 2010, la charmante mise à jour estampillée 5958 pour McAfee VirusScan a causé la détection sur processus "svchost.exe" comme la variante du virus w32/wecorl.a. Il s'agit bien sûr d'un faux-positif, ce processus étant un des processus les plus critiques du système d'exploitation, puisqu'il sert de "berceau" à la plupart des services système. Il semblerait que seul Windows XP SP3 soit touché. En tant que tel, il est protégé par le service de protection des fichiers systèmes implémenté depuis Windows 2000. Mais surtout, "tuer" ce processus cause un arrêt immédiat du système, par un fameux "Blue Screen of Death" ou un redémarrage pour cause de défaillance d'un service critique.
Là où le bât blesse, c'est que le système de protection intégré a Windows tente désespérément de restaurer le fichier depuis le répertoire DLLCACHE, et l'antivirus détruit systématiquement le fichier...
Notez l'aplomb de McAfee tout de même:
McAfee is aware that a number of customers have incurred a false positive error due to incorrect malware alerts on Wednesday, April 21. The problem occurs with the 5958 virus definition file (DAT) that was released on April 21 at 2.00 PM GMT+1 (6am Pacific Time).
Our initial investigation indicates that the error can result in moderate to significant performance issues on systems running Windows XP Service Pack 3.
The faulty update has been removed from McAfee download servers for corporate users, preventing any further impact on those customers. We are not aware of significant impact on consumer customers and believe we have effectively limited such occurrence.
McAfee teams are working with the highest priority to support impacted customers and plan to provide an update virus definition file shortly. McAfee apologizes for any inconvenience to our customers.
Non seulement, le problème ne s'arrête pas à un problème de performance sur la machine, et le "moderate" est à mourir de rire. D'un point de vue plus personnel, je trouve inadmissible qu'une société, parmi les leaders de la protection des environnements d'Enterprise et qui se vante de disposer d'une des meilleures suites de protection contre les virus de surcroit, ne dispose pas d'un plan de recette digne de ce nom.
De plus, il est d'ores déjà trop tard pour certaines compagnies utilisant VirusScan et ayant encore quelques dizaines de milliers, voire centaines de milliers de postes Windows XP SP3. La rumeur dit qu'un certain fondeur de processeur, leader dans son domaine et dont le nom commence par un "I" serait déjà bien affecté...
J'ai hâte de lire la petit gazette du Web de demain matin... :)
PS: j'ai toujours détesté VirusScan. Travaillant en général sur des technologies récentes, je n'ai jamais vu VirusScan ne pas causer de problèmes de performances ou effets de bords indésirables sur les serveurs de mes clients.
Articles
