A vírusként felismert Excel esete – hivatalos közlemény

Március 10-én a McAfee AVERT laboratórium kiadta a 4715-ös DAT fájlt, amely alapján egyes McAfee termékek hibásan azonosították a W95/CTX vírust. A hibás azonosítás több száz valójában ártalmatlan, EXE kiterjesztésű fájlt érintett. Az AVERT ót óra alatt javította a hibát, és közzétette a 4716-os DAT fájlt, valamint elkészített és publikált egy, a visszaállítást elvégző eszközt honlapján. A téves riasztás kizárólag a manuálisan indított vagy időzített átvizsgálásokat érinti az alábbi termékekben:

• VirusScan Enterprise 7.1 és ettől felfelé
• Managed VirusScan 3.5 és a 4.0 Beta
• VirusScan Online 10
• LinuxShield
• VirusScan 7.03 (Otthoni verzió)

A McAfee magyarországi képviselete és disztribútorai visszajelzése szerint, főleg a gyors korrekció miatt, Magyarországon elenyésző számban okozott problémát a hibás kód.

A problémát a 4716-os DAT fájlban, alig öt órával később korrigálták az AVERT mérnökei. A probléma nem érinti a fenti termékek valósidejű és e-mail vizsgálati funkcióit, az átjárón telepített termékeket, a Virex és az önálló AntiSpyware termékeket sem.

A hibás azonosítás több száz valójában ártalmatlan, .EXE kiterjesztésű fájlt érintett, a teljes lista alábbolvasható.

A probléma oka egy 1-bites hiba a W95/CTX vírust azonosító teljes kódban, amely miatt a fájlok vizsgálata idejekorán megszakad, és a szoftverek egyből az azonosítás és javítás fázisba ugrottak előre. Mivel az azonosítás téves volt, a vizsgált fájlok azonnal a karanténba, vagy törlésre kerültek.

A hiba kijutásának oka, hogy NEM jelentkezett a parancssoros scanner esetében, ezért kerülhette el a forráskód ellenőrzését végző AVERT szakértők figyelmét. A hiba nehezen azonosítható, felfedezése és megértése még a sikeres reprodukálás után is majd fél órába telt az AVERT szenior kutatóinak.

További információ a karanténba került fájlok helyreállításáról és a vírusról magáról a lenti linken olvasható, illetve innen elérhetőek a javításhoz szükséges eszközök is.

„A McAfee AVERT minden érintett elnézését kéri a hibáért” – mondta Joe Telafici az AVERT Laboratóriumok vezetője.

Tévesen azonosított fájlok listája
591
_31661fcdac82_4c09_872f_4df296f6181f.exe
_f493ea3.exe.1b68564d_2701_4750_a917_5bba0592e332
_iscppr.exe
101enh.p3k
147456_5526765a0_
312339jpn8.exe
50comupd.exe
a0004732.exe
a0009103.exe
a0009116.exe
a0039989.dll
a0045943.exe
a0059645.exe
a0069982.exe
a0109106.exe
a0232183.exe
a2p.exe
acssetup.exe
admin.exe
AdobeDownloadManager.exe
AdobeUpdateManager.exe
adpass.exe
adtest.exe
agrsmdel.exe
amqabout.dll
amqapi.exe
amqfirst.exe
amqmgse.exe
amqmjpse.exe
amqmsock.exe
amqmsrvn.exe
amqmtbrn.exe
amqpcard.exe
amqsvc.exe
amqtsivt.exe
appendini.exe
appletviewer.exe
appreg.exe
arcpd.exe
atigart.exe
autojob.exe
autorun.exe
avcodec.dll
avi.exe
bdss.exe
becker.exe
beforemsi.exe
BKUPJOB.EXE
bwunin.exe
bwunin-6.1.4.61-8876480l.exe
bwunin-6.1.4.68-8876480l.exe
ceisos.exe
certadder.exe
chcfg.exe
ckcwin.exe
clearreg.exe
CLOB.EXE
clonedlg.exe
closeactemail.exe
cngspeed.exe
comctl32.ocx
cpinst.exe
cr_idous.exe
cygwin1.dll
dbtofile.exe
decode.exe
delayinst.exe
deldvc.exe
delinf.exe
demo32.exe
desmume.exe
devenum.exe
dgmgrl.exe
diagzip2.pct
diffmergectl.ocx
dlbfih.exe
dlbtih.ex_
dlbtih.exe
dlbuih.ex_
dlbuih.exe
dlmcleanup.exe
dmiscan.exe
docunins.exe
DopeWars.exe
drvremover.exe
dsnconvert.exe
eaxfull.exe
ecenter.exe
EMP.EXE
EMPDATA.EXE
Endpoint_prog1.exe
epcmcom.exe
EXCEL.EXE
exetool.exe
expcgi.exe
expnavimap.exe
exprailmap.exe
extcheck.exe
facedata.exe
filetodb.exe
fix_vcrt.exe
fl_0219.gdpb
flush.dll
FrameworkService.exe
FTSTRG.EXE
gdtest.exe
getdxver.exe
getmac.exe
gpsbabel.exe
GRAPH9.EXE
gwreload.exe
hhupd.exe
hpfsched.exe
hpfxicm.exe
hpolex01.exe
hpowfs01.exe
HRVERIFY.EXE
ibmmrk.exe
iconvrtr.exe
icqinstall.exe
idapinst.dll
idlj.exe
idlktest.exe
idoukcreate.exe
idr20009.dll
idsverfx.exe
if_job_check.exe
if_job_delete.exe
if_job_entry.exe
if_job_exec.exe
iman_sync.exe
imjpinst.ex_
imjpinst.exe
incd-cleantool.exe
indexsearch.exe
ins29.tmp
ins5d.tmp
inst.exe
inst16.exe
install.exe
instmed.exe
instmon.ex_
instmon.exe
instmonitor.exe
instmsia.exe
instmsiW.exe
INSTREG.EXE
INSTREGC.EXE
INSTSVC.EXE
INSTSVCW.EXE
instvid.exe
inv_config_ep_meths.exe
IOMGR.EXE
isuninst.exe
jar.exe
jarsigner.exe
java.exe
javac.exe
javadoc.exe
javah.exe
javap.exe
javaw.exe
javaws.exe
jdb.exe
jetkillwz.exe
kdpostrep.exe
keytool.exe
killaccesssprt.exe
killapps.exe
killwindow2.exe
kinit.exe
klist.exe
ksuutil.exe
ktab.exe
lacadr.dll
langid.exe
launcher.exe
lbpost.exe
lbsync.exe
lcfd.exe
lexdrvin.ex_
lexreg.ex_
lexreg.exe
libgdk-0.dll
libglib-2.0-0.dll
libgobject-2.0-0.dll
libgtk-0.dll
libgtk-win32-2.0-0.dll
LOG2CSV.EXE
LOG2FORM.EXE
lxbbjswx.ex_
lxbkih.exe
lxblih.exe
lxbrfax.exe
lxbtih.exe
makeace.exe
matrixapi.dll
Megactrl.exe
memo.exe
metaflac.exe
mpbtn.exe
mpgvout.002
mph.exe
mrgsapcache.exe
mstr_prn.exe
naPrdMgr.exe
native2ascii.exe
news.exe
ntfstype.exe
ntmeter.exe
OBJECTS.EXE
ocfgperm.exe
ocopydb2.exe
ocsvldr.exe
ONRSD.EXE
oobecheckstart.exe
orbd.exe
org5install.exe
osql2.exe
pcmagent.exe
pctlcf.exe
pdftohtml.exe
pegasusprovideradapter.exe
policytool.exe
ppctl.dll
preview.exe
printprocess.exe
printserver110.exe
pxhpinst.exe
qshow.exe
Raidutil.exe
reg.exe
REGFILES.EXE
register.exe
regpnp.exe
regqb.exe
remadi.exe
remdir.cab
replace.exe
repmail.exe
restore.ins
rmic.exe
rmid.exe
rmiregistry.exe
rp9codec.exe
rpcapd.exe
rtxadmin.exe
sendmail.exe
serialver.exe
servertool.exe
setcdfmt.exe
setini.exe
setup.exe
Setup1.exe
setups.exe
sgfparser.dll
shutdown.exe
simcrit.exe
sisusbrg.exe
skin.exe
SMBIOS.EXE
sonic.cab
sonicmcmpgdec.dll
sonicmpgvout.001
sonicmpgvout.002
sonicmpgvout.003
sonicmpgvout.004
splithtml.exe
sqlcnv10.exe
sqlservr.exe
ssrunscript.exe
stacconfig.exe
startasync.exe
testtxmgr.exe
tnameserv.exe
toursync.exe
tphkmgr.exe
tpmsgagt.exe
uneng.exe
uninst.exe
uninst9x.exe
uninstall.exe
unmatch.exe
updateipr.exe
UpdaterUI.exe
updtsup2.exe
upromiseremindu.exe
UPSLOG.EXE
UPSNMP.EXE
UPSNT218.EXE
UPSWWW.EXE
userback.exe
usersid.exe