Tal y como informó ayer el El Equipo de Respuesta ante Incidentes de Seguridad del Centro Criptológico Nacional a toda su Comunidad, a las 14.00 h del 21 de abril, la compañía McAfee liberó un nuevo fichero DAT de actualización de firmas (el 5958) con información que el motor antivirus usa para la detección de amenazas. Sin embargo, su instalación ha provocado que cientos de miles de sistemas se quedaran inutilizados en todo el mundo, según ha reconocido la propia compañía. Y es que, tras la instalación de esta actualización, se producía en algunos sistemas un falso positivo con la detección del gusano w32/wecorl.a. A continuación, en los sistemas supuestamente infectados se producía un BSOD (pantallazo azul) o un error DCOM seguido del reinicio del sistema. Esta situación se agravaba en entornos empresariales donde las actualizaciones se realizan en masa, a través de la herramienta "ePolicyOrchestrator", dejando redes de máquinas eventualmente sin servicio.
Ante esta situación, McAfee publicó una herramienta para restaurar los sistemas afectados denominada SuperDAT. Mientras los administradores de su foro se vieron obligados a cerrarlo durante unas horas ante el tráfico tan elevado de mensajes que se produjo.
CCN-CERT (22-04-2010)
