17:15 Un operador ve como su ordenador muestra un aviso de
Windows, "
Su equipo se va a reiniciar en 60 segundos.... 59, 58, 57".
- Hola, Administrador? puede venir un momento? mi equipo me dice que se va a reiniciar solo.-
17:17 -Pues a mi me acaba de ocurrir lo mismo- dice un colega que trabaja cerca.
17:19 Seis usuarios de pié, con sus equipos con el mismo
síndrome, comentan junto a la ventana, el tiempo que hacen perder este tipo de problemas.
17:25 El Administrador procede a iniciar el
procedimiento para los casos de sospecha de infección por virus.
17:28 El Administrador va como loco intentando conocer el origen del ataque y como detenerlo, y lo que es peor, desconoce como limpiarlo.
- Alguien ha descargado algún programa de Internet recientemente?- Pregunta
-
Noooooo, ya hemos dicho que
noooooo- Contestan casi a coro los usuarios de la ventana.
18:00 El Administrador, nervioso llama a a su proveedor.
- Como? que se trata de un ataque mundial. ?Que se han detectado los mismos casos en varios lugares el mundo?-
- Y qué fichero infecta? el
svhost.
exe? Reinstalando el sistema?
18:05 El administrador, no entiende el ataque mundial si en su oficina hay equipos que no se han infectado. ¿Por qué?
18:33 Se constata que el cuando ha aparecido el mensaje del virus, segundos antes dicho equipo ha tenido una
actualización del propio software de
antivirus...
19:00 Se procede a un intento de recuperar un equipo al que se le ha borrado el
svhost.
exe y queda
inoperativo.
20:00 Se espera información del fabricante pues se sabe que en un foro de Inglaterra reportan el mismo problema pero creen que no es un virus ... es un error del proveedor.
21:15 ... El Administrador recibe el siguiente
email:
"
Una actualización de las bases de datos de virus de McAfee ha afectado a decenas de miles de ordenadores con Windows XP, principalmente del ámbito corporativo, dejándolos inutilizados y en manos del servicio técnico. El causante ha sido un falso positivo que ha marcado como virus al proceso Svchost.exe, casi nada…
Svchost es un nombre genérico para procesos que se ejecutan desde DLLs (bibliotecas de vínculos dinámicos). Durante el arranque de Windows, este programa examina el registro, crea una lista con los servicios que hay que cargar, y es capaz de ejecutar varios de ellos. De hecho, lo habitual es que haya varias instancias de Svchost ejecutándose, cada uno correspondiente a un grupo de servicios. Sin Svchost, una máquina Windows está literalmente muerta.
Así que cuando los sistemas con Windows XP cargaron la actualización 5958 de las bases de datos de McAfee, estaban casi cometiendo suicidio. En cuanto el antivirus trasteó para “evitar el daño” que podía causar Svchost, identificado como “w32/wecorl.a”, y el usuario reiniciaba… os hacéis una idea. Pero de arrancar, ni sombra. En pocas horas, decenas de miles de máquinas con Windows XP quedaban inutilizadas.
La Facultad de Medicina de la Universidad de Michigan dice qe tienen dañados hasta 25.000 ordenadores. Los hospitales de Rhode Island han tenido que posponer operaciones y rechazar a pacientes en sus urgencias en casos que no eran de extrema gravedad. No hay cifras oficiales, pero sumando las quejas de varios organismos y empresas, tranquilamente pueden rozarse las 100.000 máquinas afectadas.
Hay solución para ellas, un parche oficial creado por McAfee, para aquellos a los que aún no les ha afectado el fallo. El problema es que dado el tipo de daño, es necesario que un administrador le dedique unos minutos a cada máquina y restaure Svchost. Echando sencillas cuentas, considerando el número de máquinas afectadas, la cantidad de ellas que el técnico medio tiene a su cargo, y el tiempo a dedicar a cada una, a mi me sale que a los de McAfee les van a pitar las orejas durante unos cuantos meses. "
Al
día siguiente, a las 13 horas se terminaba de actualizar los equipos con problemas, y un equipo quedo
inoperativo, el del Administrador que lo utilizó
como banco de pruebas.
Ya sabemos que nadie es perfecto pero ....Que broma no?
