Inicio / Alerta Temprana / Avisos Seguridad / McAfee publica la solución para el problema provocado por su actualización 5958

McAfee publica la solución para el problema provocado por su actualización 5958

Fecha de publicación: 
22/04/2010
Importancia: 
3 - Media
Recursos afectados: 

Microsoft XP con el antivirus McAfee y la actualización 5958 DAT.

Descripción: 

McAfee, con su actualización de ayer miércoles, provocó un problema serio en los sistemas Windows XP con SP3. Hoy ha publicado la solución que corrige la incidencia.

Impacto: 

Si un equipo con Windows XP ha actualizado el antivirus a la versión 5958, tras realizar el análisis, eliminará el fichero svchost.exe, lo que provocará pantallazos de error BSOD (Blue Screen Of Dead).

Solución: 

Para los usuarios afectados, McAfee propone dos soluciones:

  • Solución 1ª utilizar la herramienta SuperDAT.

    1. Desde un equipo con acceso a Internet, descargar Recovery SuperDAT y grabarla en una unidad extraíble o soporte portable.
    2. Ejecutar esta aplicación en cada equipo afectado, si fuera necesario iniciar el sistema en modo seguro.
    3. Después de terminar de ejecutar la aplicación, reiniciar el equipo.
    4. Actualizar VirusScan para asegurarse que tiene la versión 5959 DAT.
  • Solución 2º utilizar la herramienta SuperDAT.

    1. Descargar el fichero 5959 DAT, en un ordenador que funcione perfectamente y copiar el fichero a un dispositivo extraíble.
    2. Iniciar el sistema en modo seguro con funciones de red.
    3. Copiar el fichero 5959xdat.exe en el ordenador, entonces hacer doble clic sobre él para actualizar los ficheros VSE DAT.
    4. Abrir Windows Explorer e ir a C:\WINDOWS\system32
    5. Si aparece svchost.exe en el directorio y no tiene un tamaño de 0 bytes, ir al paso 8.
    6. Si no está el fichero svchost.exe, o bien tiene un tamaño de 0 bytes, hay que iniciar la consola de VirusScan (Menú Inicio, Programas, McAfee, Consola VirusScan). Si no es posible iniciar la consola de VirusScan, hacer clic en el botón de Inicio, Ejecutar, y escriba el comando: «C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone», pulsar Intro o botón aceptar.
    7. Hacer doble clic en el la Política de gestión de cuarentena (Quarantine Manager Policy), hacer clic en la ficha Gestión (Manager).
    8. En la detección del virus W32/Wecorl.A sobre el fichero svchost.exe, hacer clic derecho y seleccionar Restaurar (restore)
    9. Reiniciar el equipo normalmente.

Si no se puede restaurar el fichero svchost.exe, o si éste tuviera 0 bytes, hacer lo siguiente:

  • En cada sistema afectado copiar el fichero desde C:\windows\ServicePackFiles\i386\svchost.exe o desde C:\WINDOWS\system32\dllcache\svchost.exe al directorio c:\WINDOWS\system32
  • En caso de no poder utilizar las funciones Copiar-Pegar, utilizar comandos de consola (Inicio, Ejecutar, CMD) «copy C:\windows\ServicePackFiles\i386\svchost.exe c:\WINDOWS\system32».

En caso de no tener el fichero svchost.exe en ese equipo, se puede copiar de otro equipo con el mismo sistema operativo.

Detalle: 

En equipos con Windows XP SP3 instalado, la actualización indicaba un falso positivo , detectando como malware W32/Wecorl un fichero legítimo del sistema.

El fichero en cuestión es el SVCHOST.EXE, es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de vínculos dinámicos (DLL). Este fichero está en %SystemRoot%\System32. Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible ejecutar varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe. Esta agrupación de servicios permite un mejor control y una depuración más sencilla.

La compañía envió un comunicado reconociendo un error en el archivo de definición de virus 5958 (DAT), y afirmó que el problema ya ha sido solucionado y la actualización defectuosa se ha eliminado, de forma que no estará disponible para su descarga.

Etiquetas: