Нагруженные бэкэнды
4,0
рейтинг
22 апреля 2010 в 01:51

Администрирование → McAfee увел в бесконечную перезагрузку миллионы чистых компьютеров

Выпущенный сегодня апдейт (McAfee DAT 5958) к антивирусу McAfee приводит к бесконечным перезагрузкам на Windows XP SP3, считая svchost.exe (Services) — вирусом.

В бесконечный ребут ушли PricewaterhouseCoopers New York (только там — сотни тысяч компьютеров), кампусы колледжей, госпитали, использующие медицинское ПО для Windows, и множество других компаний по всему миру.

Черный юмор, но Mcafee — первый антивирус, официально признавший винду вирусом.

«Лечение» антивируса:

Вариант 1: Перезагрузка в безопасный режим, переименовать mcshield.exe, перезагрузка, запустить Virus Console, Tools -> Rollback DAT, переименовать назад mcshield, перезагрузка.

Вариант 2: Вместо переименования — в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\McShield\Start=4, rollback тем же способом.

Официальный фикс от McAffee ожидается. Официальный фикс (и не лень им 5 страниц писать было, когда там четыре строчки нужные? см. ниже)… Апдейт 5959 уже выкладывается, в течение нескольких часов обещают что распространится и пофиксит. Однако лечить все равно придется руками похоже, поскольку бесконечная перезагрузка, наверное не даст проапдейтится.

Краткий пересказ 5 страниц официального «лечения»:
  1. Скачать extra.dat;
  2. Ребут в безопасный режим;
  3. Скопировать extra.dat в c:/program files/common files/mcafee/engine;
  4. Ребут.
По теме:
Engadget
Internet Storm Center


Йои Хаджи,
вид с Хабра
Слава Вишняков @yoihj
карма
660,8
рейтинг 4,0
Нагруженные бэкэнды
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Администрирование

Комментарии (129)

  • +92
    во тестировщики огребли наверно
    • –1
      Особенно, если они ещё и код писали. =)
      Но я в этом сомневаюсь, т.ч. список огребателей думаю значительно шире!
      • +46
        по самые менеджеры отгребли
        • –3
          Да бросьте! Всё это сделано специально, чтобы шуму в прессе наделать. Не бывает плохой рекламы :)
          • +7
            После такого я не захочу пользоваться McAfee.
            А Вы?
            • +8
              После такого я вздохнул с облегчением, что не пользуюсь им :)
          • –1
            может и превлекут внимание новых пользователей, хотя и тут сомниваюсь

            но вот текущих потеряют думаю много
            • НЛО прилетело и опубликовало эту надпись здесь
    • +9
      Это должно было быть обнаружено при автоматическом тестировании баз перед их выкладыванием на сервера обновлений.
      • +7
        просто они линуксом пользуются :)
      • +1
        вот именно! как они проспали такой критический баг.
        когда тысячи компов потребителей отваливаются — о какой преднамеренности кто-то тут говорит?
        Это серьезный косяк конторы, не знаю насчет старых клиентов, но новых точно не прибавится )
  • +2
    Неплохо бы если они, денег возвращали-бы за простой техники в таких случаях. Глядишь и тестировать начнут перед релизами.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        В контексте последних событий, думаю, ответ ясен.
        • +1
          Думаю сюда применимо выражение
          «Незнание законов не освобождает от ответственности»
          • +4
            А вот знание законов освобождает от необходимости выполнять условия незаконных договоров. Так что кликать «далее» — это не всегда так плохо как кажется.
  • +15
    Windows не может устанавливаться в системы жизнеобеспечения.
    • +2
      Наверное Вы имели в виду «не должен». Вообще да, я, наверное, некорректно выразился — имеются в виду не сами системы жизнеобеспечения, а то, что системы с вин участвуют в обеспечении жизни пациентов — например, в том, что доктор (как он сам пишет — ссылка в тексте) не может просмотреть результаты анализов, рентгены и т.п., потому что машины не работаю. Как он дальше пишет, что с утра удалил очень кровавый мочевой пузырь и даже не может проверить — продолжается ли кровоточение.
      • 0
        Если кто-то придумает как исправить формулировку в тексте с учетом вышесказанного — подсказывайте, поправлю.
        • 0
          Ну, проще всего убрать строчку «с системами жизнеобеспечения». Но если это стилистически не катит или слишком общо, то можно дописать «использующие медицинское ПО для Windows» или как-то так. Всё-таки софт для просмотра R-снимков или интерпретации биохимии — это не софт систем жизнеобеспечения. Там сертифицированные вещи вроде vxworks обычно работают.
          • 0
            Поправил. Благодарю.
    • +1
      Embedded версии могут, обычные — нет. Собственно в ядре Embedded от Windows одно название.
      • +1
        Я в этих продуктах не совсем хорошо ориентируюсь, но я думал, что Windows Embedded — это вариант Windows XP, а вот Windows CE — это как раз RTOS, в которой мало что от Windows. Оказывается, там всё ещё сложнее…
      • –8
        Emebedded — это просто пересобранная винда с викинутыми службами. Те же баги, что и в старшей сестре. Не знаю, что там по поводу ядра, но всё остальное всё такое же глючное.
        • +5
          Вы, мягко говоря, не разбираетесь в вопросе.
          • 0
            Ммм, буквально недавно имел дело с ембеддед хр для одних терминальчиков специфических. Хотя да, почитал, оказывается ембеддед есть не только хр, каюсь.
    • +2
      Не согласен. Если сделать из машины свалку, то и линукс завалится преоотличненько. А когда все лишнее из Windows вырезано и работает только одно приложение, никаких пролем не возникает. Если сеть, то должна быть автономная сеть (без интернета). Никаких флешек и прочих сменных носителей.
      • 0
        Соглашаются или не соглашаются в данном случае FDA, или Минздрав, или иные организации, а они, в свою очередь, полагаются на оценки спецов, занимающихся встраиваемыми решениями.

        Вообще, в оборудовании применяются ОСи реального времени: QNX, VxWorks, иногда ucLinux или Windows CE, но никогда — те же системы, что и на десктопах.
        • +2
          Ну, тогда из ваших слов можно сделать вывод, что windows xp pro — это не десктопная система. Либо, что agilent Infiniium 8000 series — говно.
          Вы можете хоть чем-то подтвердить свои слова?
          • 0
            Из слов Tanner не следует ни то, ни другое. Он говорил про критичные системы/оборудование. Да, там действительно используются другие системы, RTOS.
            Некритичное оборудование (то же лабораторное) производитель может комплектовать любой системой, которая, по его мнению, удовлетворит заказчика, хоть Windows 98.
            Критичные системы (авиация/космонавтика/опасные технологические процессы) комплектуются только системами RTOS высокой надежности, и софт под них пишется и тестируется за другие деньги. Например, внесение ЛЮБЫХ изменений в ПО Space Shuttle (бортовые компьютеры) стоит $1'000'000.
          • +1
            В железке, которую Вы назвали, за сбор данных отвечает не контроллер, а жёсткая логика. Что-то вроде счётчика адресов, управляющих одним портом двухпортового ОЗУ, в которое складываются сэмплы c ADC. Микропроцессор под управлением Windows XP читает содержимое буфера со второго порта. Он отвечает только за визуализацию данных и обработку их по заказу, то есть не в реальном времени. С этой работой обычная ОС справляется. Вот если бы железка должна была преобразовывать данные и выдавать их потоком на DAC, тогда я посмотрел бы, как Вы реализовали бы это на Windows XP.
            • 0
              Спасибо за разъяснения, вероятно, был не прав.
  • +7
    > Черный юмор, но Mcafee — первый антивирус, официально признавший винду вирусом.
    Ждём когда антивирусные магнаты типа Касперский и NOD32 последует их примеру ;)
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        А чем подтверждается высказывание по поводу NOD32? Раньше использовал McAfee, но год назад отказался от него, тормозил безбожно. Перешел на NOD32 вроде как особых проблем с ним не вижу. Может чего-то не замечаю и система дырявая на самом деле.
        • +1
          У меня он как-то выборочно боролся с вирусом, название которого щас не припомню.
          Судя по списку зараженных файлов, и их времени модификации, то вирус успевал заразить 10-20 эхешников, пока стартовал НОД при буте системы =(
          • –1
            в этом смысле да. McAfee меня перестал устраивать тем, что на чистой машине нужно дождаться пока он полностью запуститься, успокоится и только после этого можно начинать работать. От включения до готовности 10 минут это долго… Нужна некая золотая середина
        • +3
          Работаю в университете, на компьютерах вирусы как у себя дома.
          Стоит лицензионный NOD32 на всех машинах, и ему побоку все вирусы.
          Достаточно вставить флешку и можно посмотреть на самые распространенные экземпляры этого зоопарка в количестве штук 20-ти.

          NOD32 — зло, это только иллюзия безопасности.
          • 0
            И кого лучше ставить? Кто эту флешку зачистит без ошибки?
            • +2
              Дома и в офисе поставил BitDefender.
              По крайней мере зараза с универа не переползает.

              Преподаю дисциплины, которые все в компьютерных классах.
              За 2-3 пары насобираю все что можно на флешку, только BD и спасает.

              Про Dr.Web и Каспера ничего сказать не могу, не пробовал.
              Но NOD32 явно не лучшее решение.
              • 0
                Хорошая тестовая площадка :)
              • 0
                Проверьте CureIt'ом, вдруг что найдёт?
                • 0
                  Регулярно проверяю.
                  Всегда пусто.
                  • 0
                    Использую NOD начиная с версии 2.5, регулярно перехожу на свежие версии и обновляю базы. Открываю в инете все подряд и тыкаю для интереса на все ссылки. Стоит Fox с adblock и noscript. Ни разу за все годы не ловил вирус, не говоря уже о принесенных на флешке. Что я делаю не так?
                    • 0
                      И тоже регулярно проверяетесь сторонним антивирусом?
                      • +1
                        Я регулярно переписываю в тетрадку пером все CRC суммы системных файлов, каждый день сверяю.
                        Шутка конечно, но в силу специфики работы, я в состоянии обнаружить вирь на своей машине.
                        • 0
                          Поделитесь секретом, а то у меня постоянно подозрения на то, что я заражён, а сам не знаю.
        • –1
          юзал нод32 2.7 лицензионный.
          После того как он пропустил виря, который в папке eset пожрал половину файлов в т.ч. ехе-шники, а саму иконку переименовал в Antevirus я особо не доверяю Ноду, тестировал 4ую версию — он конечно получше, но сразу заметил полный игнор анвирем hosts — это уже через край было, поставил Доктора — пока не жалею
        • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Удивительно, но за 2 года использования — ни одного заражения.
    • +1
      Вовсе и не первый. У Касперцкого, Веба, АВГ и других были подобные случаи с компонентами ОС.
      АВГ по моему вообще убивал систему, что она не грузилась.
  • +6
    Ужас… Надеюсь, это послужит уроком, чтобы врачебные системы (компьютеры, на которых просматривают результаты, рентгены и прочее) были либо как-то более защищены, либо на *nix системах (хотя, Linux падает куда чаще при неумелом обращении, но вряд ли врач решит поиграть в админа...)
  • +1
    Жуть!
  • +9
    Я надеюсь, они закроются после такого фиаско?
    Терпеть не могу антивирусы. Полумера какая-то.
    • 0
      >после такого фиаско?
      сомнительно.

      На моей памяти epic fail
      уже был у symantec, касперского. :-)
      Ничего — работают дальше.
      • 0
        У нас на прошлой работе была корпоративная лицензия на него, никогда он мне не нравился, тормозной сильно да и как-то не доверял я ему, оказалось не зря :)
      • 0
        у кашпировского регулярный эпик фейл наблюдается.
        вижу на рабочих компах.
      • 0
        с официальной страницы NOD32 как-то вирус подгружался — пофиксили черт знает через сколько)
    • –15
      Терпеть не могу антивирусы. Полумера какая-то.

      Оо и как же вы заходите в блуждаете в инете без антивирусника с фаерволом? форматируя комп каждый месяц?
      • +21
        1. Не ходим на порно сайты
        2. Не качаем варёз
        3. Думаем прежде чем кликнуть на ссылку в письме

        Profit!

        А вообще переходим на вменяемые ОС и опять же Profit!
        • +21
          одним словом — думаем прежде чем сделать что-то =)
          как ни удивительно, этого хватает
          • +8
            И действительно, этого хватит. До поры до времени.
            • +3
              Вероятность заразиться думая намного ниже, чем заразаить компьютер имея антивирус. К тому же те, кто так пишут и я в том числе могут по побочным эффектам обнаружить нестандартное поведение системы (странный обмен по сети, посторонние процессы нагружающие систему). Главное закрыться от потенциальных угроз в виде атаки на уязвимые службы через сеть и исполнение всякого ненужного барахла в браузере (Noscript'ом, например).
              Ко всем прочим плюсам, работы без антивируса — это работа без излишних тормозов. Только не говорите, что такой-то такой-то антивирус нисколечки не тормозит. Не верю я в чудеса. Не может не тормозить программа, если у неё в базе несколько десятков-сотен тысяч записей и ей по всей этой базе надо проверять что-то. Если антивирус не тормозит, то он не работает.
              • 0
                Много лет не пользовался антивирусом, тоже думал, что достаточно просто думать… а когда схватил (уж не помню как) то страшно пожалел. с тех пор у меня постоянно установлен, хотя больше ни разу не повторялось. просто теперь считаю, что уж лучше подстраховаться лишний раз.
                • 0
                  У меня обратная проблема. Те 3 раза, что мой компьютер заражался были связаны с тем, что я поставил себе антивирус. Расслабляешься и запускаешь всякую заразу (антивирус же есть). Уж лучше без него, но с использованием более эффективных методов защиты.
        • +24
          Не ходим на порно сайты — это отстой.
          • 0
            Да юмор есть такой, картинки с вирусами.
            • –16
              И почему именно на порносайтах эти картинки? Ведь картинки они везде.
              И вообще, вирус в картинках = миф для таких малолетних долбоёбов, как ты. Ну да, можно добавить исполняемый код в jpeg, но для этого нужно до того зарегистрировать обработчик картинок на себя, суть исполняемый файл. Короче, перданул не туда.
              • +6
                Он, ну не скажите. Несмотря на то, что вирус не в картинках, всё-таки, программы таковы, что картинка для них входящий поток данных. А в этот поток вполне можно подсунуть всякую заразу, которая вызовен нестандартную реакцию программы, вплоть до запуска произвольного кода, который в этой «картинке» будет спрятан.
              • +2
                Добавляем исполняемый код в BMP файл

              • 0
                >И вообще, вирус в картинках = миф для таких малолетних долбоёбов, как ты.

                Вот и тролль появился. С таким поведением я сильно сомневаюсь в твоём умственном развитии.
        • +1
          Честно говоря, этого не хватает. У меня был случай, когда винда поймала вирус сразу после установки, пока я скачивал из интернета обновления. Так же не редки случаи, что винда заражается при посещении вполне респектабельных сайтов. Одним словом, я сам придерживался какое-то время вашей политики, но рано или поздно все равно ловил заразу. Да что там говорить, я ловил заразу даже при работающем и обновляющемся ежедневно антивирусе.
          Так что тут безопасный выход один — использовать для посещения интернета виртуальную машину, но это не всегда приемлемо.
        • –1
          Тогда надо вообще 2-3 сайта и только по ним ходить. И то не убережёт если что-то в баннер пролезет.
        • 0
          4. Отключаем интернет, флешки, сидюки…
      • +6
        Ubuntu + WOT для браузера + немного внимательности
        года 3 полет нормальный
      • 0
        Я лично использую подходящую для работы в интернете систему — Ubuntu. (не холивара ради)
    • +1
      Может и не закроются, но их доходы в разы упадут — это очевидно, рынок им этого не простит.
      Кто-то один запоганил целую компанию:)
  • 0
    Всегда почему то остерегался McAfee…
  • +11
    Сколько заплатили Canonical McAfee, чтобы они признали их Bug #1?
  • +16
    Это только начало. Следующие версии ещё и лечить будут! =)

    Вот будет весело! Поставил винду, потом антивирус, перезагрузился и антивир вылечил винду до линукса. ;-)
    • +7
      Угу… вот так оставишь сканировать на ночь, к утру он уже Генту вытянет и скомпилит =)
      • +1
        какой вы шустрый ;) вы видимо OOO ниразу не собирали… за ночь… хе )))
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            и много чего еще ;) на самом деле был еще такой fantoo если слышали, который имел целый бинарный репозиторий для Gentoo, но проект загнулся ) Я кстати OOo сейчас собираю как раз чтобы уйти от граблей + UI становится нативнее в кедах. Да и в случае с OOo повысить оптимизацию. Правда как советуют разработчики повышать надо чуть чуть, чтобы не сломать) Благо нечастые релизы дают возможность собирать OOo.
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                >Вот тут, я особой разницы не заметил. Хотя раньше ради этого проводил тесты на эту тему.
                Может быть плацебо, тут спорить не буду не задавался целью оттестить.

                WM я раньше не видел, как бы сказать: «минимален») Ну каждому свое )
                • НЛО прилетело и опубликовало эту надпись здесь
                  • НЛО прилетело и опубликовало эту надпись здесь
  • +3
    Хочу сказать что McAfee не первый. Касперский отличился ранее посчитав explorer.exe вирусом.
    www.cnews.ru/news/top/index.shtml?2007/12/24/280937
    • +8
      И Вы хотите сказать что он не прав? )
  • +6
    Как хорошо не иметь винды в квартире %)
    • 0
      совсем без окошек не обойтись ;(
  • 0
    3 виртуалки с виндой и McAfee… на всех полет нормальный. странно.
    • 0
      у меня тоже на 2 компах макафя и все работает
      хотя он конечно отстой редкостный, пользуюсь только потому что есть бесплатная лицензия
      • +1
        Аналогично. Винда вообще только в виртуалках осталась и то только потому, что некоторый софт не под винду все-таки не делают ;(
  • +1
    Никогда не понимал, как такие баги могут пройти тестирование. Если на всех WinXP SP3 такая ерунда случилась. Если только в McAfee какой-нибудь шпион из другой антивирусной компании работает…
  • 0
    В прошлом году аваст взбесился, начав признавать всё, написанное на делфи, за вирусы. У народа сразу слетели qip-ы, как минимум :) Исправили впрочем часов за 6-8, что радует.
    • +6
      > У народа сразу слетели qip-ы
      > Исправили впрочем часов за 6-8
      Лучше бы не исправляли :)
    • +1
      там и был вирус, в модуле delphi, который подключался при компиляции
  • +3
    Чувствую в универе завтра будет весело… муахаха..=)
  • –1
    подмочили себе репутацию :(
  • +1
    Забавляюсь, ставлю www.microsoft.com/security_essentials/?mkt=ru-ru
    Пока ничего плохого за ним не замечено не заметил, плюсы то что он наверное единственный знает как эта Windows вообще работает но основе программного кода )
  • +1
    Классные тестеры у McAFee
  • –15
    Зделали бы еще окошко в котором писалось бы: «Забейте на венду! Покупайте компьютеры Apple с Mac OS X», при обнаружении вируса svchost.exe :)
    • 0
      Не понял юмора. Что такого в эпл, чего нет в линуксе/винде?
      • +2
        кууучааа пооонтааа
  • 0
    Это не первый прокол McAfee кстати, помню пару месяцев назад долго пытались понять почему у 600 компьютеров одновременно закончилось место на диске. Оказалось что после очерендного .DAT апдейта McAfee начал создавать бесконечные логи которые за пару секунд забивали все место на диске (только после апдейта 8.5 до 8.7i)…
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    На корпоративных машинках такое сложно проделать, т.к. правильно настроенные политики не позволят простым пользователям отключить хотя бы на время антивирус. Больше года назад такое было, когда McAfee узнал в QIP вирус и несколько дней народ не мог с ним работать. Кто на Миранду переполз, кто на QIP Infium.
    • 0
      кто как юзал RnQ так и Юзает…
  • 0
    ух, у кого-то утро жаркое
    а в офисе разработчиков думаю очень жаркое)))
  • 0
    Мой самый первый антивирь (лет 6 назад) был как раз МакАфи. Лицензионный причем. Ужас сколько всего пропускал.
  • –1
    Это проплачено Microsoft'ом что-бы подтолкнуть пользователей перейти на новые версии Windows
    • 0
      M$ небось еще выпустит платный пач, в котором уберет «вирусоподобный» код из svchost.exe :)
      • 0
        когда это мс таким занималась?
        • 0
          ну там в конце поста смайлик, мол шуткую. А так конечно же МС не причем.
  • 0
    Вот блин а я макафи налепил уже наверно на тисячи компов…
    Жаль что так получилось, довольно хорошый антивирус, хота после установки версии 8,7 вместо 8,5 он стал очень параноидальным, тотал 6,03 который у меня уже лет 5 стал считать вирусом, изи рековери вот сегодня инсталирую а оно с него на ходу библитеотеку удаляет… Зато простую прогу на паскале что удалает все файлы подрят из папок по дереву не терогает :)
  • 0
    забавно. МакЭфи, насколько у меня сложилось впечатление, очень солидная и известная компания в области компьютерной безопаности. Особенно они известны борьбой с сетевыми атаками. И тут такая лажа. Причём не первая такая за последнее время.
  • +3
    короче вы злодеи! за что миносовали только не понятно.
    Насчет антивирусника — сам сидел без никакой защиты пол года, пользуясь Anvir-ом и еще пару софтинкой, прослеживал трафик, процессы… проблем не возникало…
    А вот теперь представьте полторы тысячи юзеров с доступом в нет, хоть и с трафиком в 50метров… представили?? ну что будим ставить антивирус или всем дадим админские права и научим следить за процессами сотрудников типа Тети Люси, 58 летней женщине которая возможно хороший бухгалтер, но только все еще доверяет больше бабушкиным счетам, а не Exel.
  • 0
    с безразличием посмотрела на табличку макафи с предложением проверить систему на офисном компьютере :) обычно нажимаю крестик :)
  • 0
    Антивирус может быть одним из средств ведения кибервойны.
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    На windows предпочитаю не ставить антивирус, так как производительность сильно падает после инсталляции более-менее полноценного антивиря. В принципе если компьютер находиться за NAT-ом риск вполне оправдан, и риск заражения минимальны при соблюдении очевидных правил безопасности.
    McAfee еще в далеком 1997 г. запорол мне файл дипломной работы, за что ненавижу его. Я тогда еще был неопытен и не сохранял копий.
    Но в общем винда у меня стоит только для специфических задач, 99% остального времени я под Линуксом, где вирусняк не водится.
  • 0
    Мы сёдня попали :) 4 часа бегали с флешками по офису.
    • 0
      двойной марафон с флешками?
  • 0
    >> кампусы колледжей, госпитали, использующие медицинское ПО для Windows
    Я не понимаю какой смысл использовать платную ось в общественных организациях?
  • 0
    По данной проблеме с McAfee Virusscan Enterprise 8.5: проверил следуюший вариант на 27 компьютерах, во всех случаях результат положительный:

    1. Закачать на работающем компьютере и сохранить на CD или USB-flash: download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe
    download.nai.com/products/licensed/superdat/english/intel/5959xdat.exe

    2. Запустить компьютер в режиме SAFE MODE (нажать F8 при старте системы) и запустить файл: SDAT5958_EM.exe. После установки первого запустить файл: 5959xdat.exe

    3. Перезапустить компьютер.
  • 0
    чувствую, кто-то получил по мозгам, ой получил… :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.