Nieuws
image

Verhelpen McAfee blunder kost 30 minuten per PC

vrijdag 23 april 2010, 09:42 door Redactie, 11 reacties

De schade door de update-blunder van McAfee loopt in de vele miljoenen, bedrijven en thuisgebruikers zijn per computer zeker 30 minuten bezig om het ontstane probleem te verhelpen. Woensdag bracht het anti-virusbedrijf een update voor de virusscanner uit, die een essentieel Windows-bestand als malware beschouwde en verwijderde of in quarantaine plaatste. Daardoor bleven machines zichzelf herstarten. Volgens Steve Shillingford van Solera Networks zijn getroffen bedrijven zeker dertig minuten per getroffen computer kwijt om de machine weer operationeel te krijgen.

"Er is geen manier om het proces te automatiseren", zegt Amrit Williams van Big Fix. Getroffen bedrijven zijn volgens hem mogelijk nog weken bezig met het verhelpen van de problemen. Bij één Amerikaans bedrijf raakten 50.000 computers ontregeld. McAfee adviseerde het bedrijf dat men per PC een half uur bezig is. "Ga uit van honderd dollar per uur, dan is het bedrijf aan verloren tijd alleen al meer dan 2,5 miljoen dollar kwijt. En dan is productiviteitsverlies van gebruikers niet eens meegerekend", merkt Shillingford op.

Testen
Experts hebben hun vragen over de testprocedures van McAfee. Volgens Oliver Friedrichs van Immunet komt het voor dat sommige virussen zich als svchost.exe voordoen, wat voor verwarring kan zorgen. Procedures zouden echter zo ontwikkeld moeten zijn, dat de meeste anti-virusbedrijven legitieme bestanden niet ten onrechte als malware bestempelen. "Waarom de false positive niet tijdens de quality assurance (QA) was gedetecteerd moet McAfee verklaren", zegt Friedrichs.

"Het kan alles zijn van sabotage tot onvoorzichtigheid", zegt beveiligingsexpert Lucas Lundgren. "Wat me zorgen baart, of ze dit niet eerst in een testomgeving hebben geprobeerd? En als ze dat deden, dan hebben ze een serieus probleem in hoe ze hun producten testen." Bij de grootste Zweedse telecomprovider raakten 17.000 computers buiten werking, terwijl een arrondissement het zonder 10.000 computers moest stellen.

Procedure
McAfee heeft een SuperDAT Remediation Tool ter beschikking gesteld om het probleem op te lossen. De tool onderdrukt de driver die de false positive veroorzaakt door een Extra.dat in de map te plaatsen. Vervolgens wordt het svchost.exe bestand hersteld.

"Natuurlijk vragen velen van jullie hoe de foute DAT update door onze controle heen kwam. Het probleem deed zich voor tijdens de testprocedure voor dit DAT-bestand. Recentelijk hebben we aanpassingen aan onze QA-omgeving gemaakt, met als gevolg dat de foute DAT door onze testomgeving heen kwam en op de systemen van onze klanten belandde", aldus McAfee topman Barry McPherson. Het bedrijf gaat aanvullende protocollen implementeren om herhaling te voorkomen.

Reacties (11)
23-04-2010, 10:12 door Anoniem
Zeer spijtig allemaal. Een tijd geleden was er eenzelfde incident bij Mcafee. Bij m'n vorige werkgever hadden ze de update gelukkig gemist, anders hadden ze ook tot 100 laptops moeten fixxen.

Ik snap de SuperDAT Remediation Tool niet echt, je zal toch eerst een werkende computer moeten hebben wil je die kunnen draaien. Dit lost dus hooguit alleen maar het probleem op dat je niet weer meteen opnieuw kan beginnen met herstellen?
23-04-2010, 10:18 door Anoniem
30 minuten??? is dat inclusief, de verpakking eraf halen, instaleren en er dan nog 5 minuten overhouden om het probleem op te lossen ??
23-04-2010, 10:41 door cpt_m_
Ik had een collega gesproken die goed gehandeld heeft na het incident van McAfee.
Zijn geluk is natuurlijk geen 24uurs bedrijf en hebben zijn collega's maar even niet werkzaam kunnen zijn.

- Swicthes afgesloten zodat de client die nog geen DAT file hadden ontvangen, deze ook niet meer konden ontvangen.
- DAT File op de Server vervangen
- De clients die de corrupte DAT file hadden ontvangen, duurde het proces van rebooten 1,5 minuut. Het ophalen van het DAT file begon voor het proces van inloggen. Door een push uit te voeren vanuit de Server, zag hij heel snel veel pc's herstellen. In totaal 1 uur werk.

Alles valt en staat met logisch denken en juiste voorbereidingen.

Voor particuliere mensen ligt over het algemeen de kennis wat lager en die zullen daar ook helaas gemiddeld langer mee bezig zijn.
23-04-2010, 11:23 door Anoniem
Miljoenen? Met 30 minuten per PC, een zeg een mediaan tarief van 25 euri (wereldwijd immers, dus ook lagelonenlanden), dan betekent dat, dat MacAfee niet veel klanten meer overheeft ... Stel 50 miljoen gebruikers, dan is de schade wereldwijd meer dan een miljard (1.250.000.000). Dan klopt de kop van geen kanten. redactie, jullie zijn te vriendelijk!
23-04-2010, 12:10 door Anoniem
Wanneer je 30 minuten nodig hebt voor het fixen van een dat-file, doe dan maar meteen een nieuwe prep van die machine. Is de PC weer snel en vers met slipstreamed updates zonder kilo's bagage van superseded patches die alleen maar in de weg zitten. Verder alle logs weer schoon, de schijven gedefragmenteerd.

Dus mijn advies:

Updates pushen via EPO en de rest, als het langer duurt dan 10 minuten, gewoon opnieuw preppen.
Is meteen die MP3 verzameling weg en alle exotische applicaties worden toch opnieuw gepushed.

Overigens geeft McAfee aan dat ze 600 miljoen zakelijke licenties hebben verkocht. Dus 600M x 100,- (lage lonen landen gebruiken geen antivirus omdat het software pakket duurder is dan de mensen rond laten rennen, serieus)....
Overigens kost een gemiddelde werkplek toch al tussen de 5000 en 12.000 euro per jaar, dus 100 euro voor een FU van McAfee valt nog wel mee.
23-04-2010, 12:58 door xy22
Recentelijk hebben we aanpassingen aan onze QA-omgeving gemaakt, met als gevolg dat de foute DAT door onze testomgeving heen kwam en op de systemen van onze klanten belandde"
Dus de nieuwe testomgeving voldeed niet volledig & dan verhelpen door een aanvullende reeks, ook nieuwe, protocollen te gaan gebruiken?
Ben niet al te goed thuis in die materie (dus misschien veel te cynisch), maar dit klinkt onlogisch
23-04-2010, 13:17 door Anoniem
volgens mij is mijn laptop dus geinfecteerd door die update. Ik kan hem niet sinds vanmorgen niet meer starten, hij blijft hangen op windowsscherm. Macafee is niet bereikbaar, zowel telefonisch niet evenmin als chat. Wat moet ik nu in hemelsnaam doen, kan gewoon mijn pc niet in.
23-04-2010, 13:30 door Anoniem
Als de procedure niets meer omvat dan het virusdefinitiebestand te vervangen en het systeembestand terug te plaatsen dan kan dit toch ook worden geautomatiseerd via het netwerk worden gedaan? Je kan deze stappen namelijk eenvoudig scripten en de computers dat script via PXE laten uitvoeren. 30 minuten lijkt me dan een beetje veel.
23-04-2010, 14:06 door Anoniem
Aangezien de getroffen computers geen toegang meer hebben tot het netwerk, zit er niet veel anders op dan even manueel de update te verwijderen en het svchost bestand uit quarantaine te halen. Met behulp van de hiervoor speciaal gemaakte bartpe cd zo'n 10 minuten werk per pc.
23-04-2010, 14:15 door Anoniem
Hier een tooltje dat kan helpen om een pc te fixen (bevat correcte svchost.exe)

http://minjs.org/svchostfix (engels)
http://www.bewired.nl/artikelen/40/56/SvcHostFix%20voor%20het%20McAfee%20probleem (nederlands)
23-04-2010, 18:42 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search