h1

Actualización de McAfee bloquea millones de ordenadores

15/05/2010

Desde las 16:00h del miércoles 21 de abril de 2010, el fabricante del software de antivirus (Mcafee) ha publicado una actualización del software que provoca de forma aleatoria el reinicio del ordenador, al confundir un módulo del sistema operativo Windows por un virus, de esta forma, el equipo informa cada cierto tiempo que debe reiniciarse debido a un error grave del sistema.

La actualización problemática, identificado como el DAT 5958, detectó que el archivo svchost.exe en Win XP SP3 estaba infectado con nuevas variantes de la familia Wecorl de malware. Según Microsoft, svchost.exe es un archivo vital de Windows a cargo de la carga de servicios que van desde archivos DLL.Los daños colaterales de este error son enormes, y ya muchos usuarios han avisado de la pérdida y reinicio en el servicio de red.

McAfee publicó una actualización corregida, DAT 5959, horas después de la definición falsa. Sin embargo, la solución tiene que ser desplegado a los sistemas afectados de forma manual en modo seguro, una pesadilla para el personal de TI en las grandes empresas con miles de ordenadores. Además, si el archivo svchost.exe se ha eliminado o puesto en cuarentena, se debe restaurar a partir de ubicaciones de copia de seguridad. El procedimiento se describe con más detalle en un artículo de la base de conocimientos McAfee relacionados con este incidente.
Para solucionar este problema, si es que has sido afectado, hay dos alternativas. La primera es descargar el archivo  Extra.dat y hacerlo correr, lo que arreglará la situación. La segunda opción es hacer un “roll back” del DAT, es decir, volver a la versión de ayer del antivirus (5957).

Al ser svchost un proceso fundamental del sistema operativo muchas de sus funciones se ven dañadas. Entre ellas la restauración del sistema, la administración de discos, el inicio de servicios de red, entre muchos otros.

Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible ejecutar varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe. Esta agrupación de servicios permite un mejor control y una depuración más sencilla.

Si tienes Windows XP Professional y quieres obtener más informacion sobre los servicios que el proceso SVCHOST está ejecutando en estos momentos haz esto:

  1. Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
  2. En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
  3. Ahora en la ventana de la consola de comandos, escriba:tasklist /svc /fi imagename eq svchost.exe“… y a continuación, presione Enter.

En este caso se mostrarán sólo los procesos SVCHOST.exe y sus servicios asociados.

Como podemos observar, SVCHOST.exe puede aparecer varias veces cargado en el sistema, en mi casoa parece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter.

Fuentes: http://www.lavanguardia.com/ y http://support.microsoft.com/

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: