Según publica Hispasec, un error liberando una actualización diaria de la firma Norton Antivirus (Symantec) ha vuelto a provocar un grave error que ha dejado inutilizados miles de ordenadores que funcionan bajo el sistema Windows XP. El error parte de que Norton Antivirus consideraba como malware crítico 2 archivos imprescindibles para el funcionamiento y arranque de XP. Hispasec añade que: "Durante el día 17 de mayo varios productos Norton Antivirus actualizaron normalmente sus bases de datos. Estas contenían un patrón de firmas por el que, por error, se calificaba como troyano (Backdoor.Haxdoor) a los ficheros netapi32.dll y lsasrv.dll de la versión en chino simplificado de Windows XP SP2." Cuando estos archivos eran puestos en cuarentena o directamente borrados, el sistema no volvía ya a arrancar, abortando el proceso de inicio con el clásico pantallazo azul de la muerte (BSOD).
La empresa china CISRT alertó inmediatamente de la situación crítica y de miles de usuarios afectados. Symantec reconoció el desafortunado error y liberó al poco tiempo una nueva actualización de firmas que ya no confundía estos ficheros con peligrosas puertas traseras. Al parecer sólo se veían afectadas las versiones de estos archivos actualizadas con el parche MS06-070 de noviembre de 2006 y sobre ese idioma en concreto. Si el mismo grave error se hubiera producido con las versiones en inglés o español, el caos hubiese sido fatal.
No es ni mucho menos la primera vez que un error de este tipo compromete la estabilidad o seguridad de millones de sistemas. Esta situación se repite con cierta frecuencia desde hace años. Las casas antivirus liberan por error firmas defectuosas. A finales de 2005 Kaspersky confundió el bloc de notas (notepad.exe) con Trojan.Win32.StartPage.adh. En julio de ese mismo año Panda tomó al mismo programa (bloc de notas tradicional de Windows) por un adware y lo borró por accidente en sus clientes.
Según Hispasec: "Mucho peor es perder información personal, pero también se han dado casos. Hace muy poco, en marzo de 2007, Microsoft OneCare fue acusado de borrar accidentalmente correos y carpetas de Outlook completas. Admitió el error y publicó una actualización aunque hubo dudas sobre las responsabilidades del problema.
Trend Micro protagonizó también en abril de 2005 un grave error por el que una actualización del patrón de firmas causó que sistemas que utilizaban su antivirus se bloquearan por completo. En un primer momento muchos administradores creyeron que se trataba de algún tipo de virus que estaba afectando a sus redes. Los sistemas bloqueados sufrían tal consumo de recursos que impedían el propio proceso de actualización de Trend Micro para descargar e instalar el nuevo patrón de firmas que corregía el problema. Se hizo necesaria una actuación manual iniciando Windows en modo seguro, borrando el archivo de actualización y
reiniciando el sistema.
Por si fuese poco, todas las casas antivirus, prácticamente sin excepción y con cierta regularidad, confunden temporalmente programas de instalación creados con NSIS (estándar de facto para la instalación en Windows) con algún virus que deben eliminar... el último caso conocido ocurrió en septiembre de 2006 y fue protagonizado por F-Prot."
Muchas veces, las excesivas prisas por competir en las actualizaciones por salvaguardar la seguridad de sus clientes hacen que las mismas empresas antivirus se conviertan en los principales agresores de los sistemas que pretenden preservar y defender por no verificar el buen funcionamiento previo de sus firmas y actualizaciones.
Ya sabe, ¡mucho cuidado con su antivirus...!