22.04.2010

McAfee'den 5958 DAT'ta yanlış alarma dikkat!

McAfee hayatının hatasını yaptı. 21 Nisan'da Türkiye saati ile 15:00 gibi yayınladığı 5958 sürüm numaralı virüs tanım dosyası, Windows XP Service Pack 3 yüklü bilgisayarlarda svchost.exe isimli sistem dosyasını, yanlış teşhis ile w32/wecorl.a virüsüne benzeterek sildi. Bunun sonucunda da dünyada tahminen onbinlerce bilgisayar çöktü.

McAfee'nin web sitesinde de bildirdiği gibi, diğer Windows sürümlerini etkilemeyen güncelleme, sadece Windows XP SP3 sistemleri çalışmaz hale getirdi. Çeşitli internet haber sitelerinin (örneğin şu) verdiği bilgiye göre ABD'de okullar, üniversiteler, polis teşkilatı ve cezaevi bilgisayarları bu durumdan etkilendi. Sayılar ayrıca Windows XP'nin halen yerini ne Windows Vista'ya, ne de Windows 7'ye bırakmadığının da göstergesi.

Bu durumdan etkilenmiş bir bilgisayar, arka arkaya tekrar başlıyor. Bilgisayarın bu bozukluğunu gidermek için Ağ Destekli Güvenli Mod'da açıp işlem yapmak gerekiyor. Yapılacak işlem, öncelikle antivirüs tanım dosyasını 5958'den 5959'a yükseltmek. Bunu yapmanın bir yolu McAfee'nin sitesinden indirilen ExtraDAT'ı %CommonProgramFiles%\mcafee\engine altına kopyalamak. Bu şekilde svchost.exe'nin W32/Wecorl.a virüsü olarak algılanmasını engellemiş olacağız.

Ardından %windir%\system32 klasörü altında boyutu sıfır (0) olmayan bir svchost.exe olup olmadığını kontrol etmek gerek. Eğer sistem 5958 DAT'a sahipse ve bilgisayar durmaksızın tekrar başlıyorsa burada yüksek ihtimalle bir svchost bulamayacağız. Karantinaya alınmış olabilir, bu sebeple VSE Console'u açıp Quarantine Manager Policy'nin özelliklerine girip Manager sekmesine gelerek burada (muhtemelen en son) karantinaya alınma işlemini Restore komutu ile geri almak gerek. Sisteme daha önce 5958'den daha yeni bir DAT kurduğumuz için bu şekilde bundan sonra tekrar karantinaya alınmayacağını da garantiledik.

Eğer svchost.exe karantinaya alınmadan doğrudan silindiyse bu dosyayı dllcache klasöründen (%windir%\system32\dllcache) veya çalışan başka bir SP3'lü bilgisyardan alabiliriz. Grafik arayüzde Paste (Yapıştır) çalışmıyorsa "komut satırından copy komutu ile yapmayı deneyin" denmiş McAfee'nin sitesinde. Bundan sonra bilgisayarı tekrar başlatıp normal çalışma ortamına dönebiliriz.

İşlem sadece birkaç dakika alıyor. Ama yüzlerce bilgisayarı olan bir kuruluşun sadece 100 bilgisayarının etkilendiğini düşünürsek, bu 100 bilgisayarın tekrar eski haline getirilmesi bilgi işlem bölümünü uzun bir süre meşgul edecek bir uyulama olur. Yine de daha kötü durumlara sebep olmamasına, veri kaybı yaşanmadığına şükür :|

Türkiye galiba bu durumda biraz şanslı. Güncelleme Türkiye saatiyle 15:00 gibi yapılmış. Bu saatten sonra yeni DAT dosyalarını indirip istemcilere dağıtacak sistem sayısı nispeten azdır. Mesainin 18:00 gibi bittiğini ve istemci bilgisayarlarının bu saatten sonra kapandığını düşünürsek risk az. Zaten McAfee de kısa bir süre sonra 5959'u yayınladı. Eğer Windows 2003 gibi mesai saati bitişinde kapanmayan sunucu işletim sistemleri bu durumdan etkileniyor olsaydı, zarar şüphesiz çok daha fazla olurdu (ufff! düşünmek bile istemiyorum).

McAfee'nin saygınlığının bu durumdan nasıl etkileneceğini önümüzdeki günlerde göreceğiz.

Hiç yorum yok: