Falso positivo en mcafee 5958…

Ojo con la actualizacion 5958 …. petaaaaa….
Mcafee acaba de hacerlo público, nosotros llevamos toda la tarde jodidos…

Para arreglarlo hay que bajarse el dat 5957 y ejecutarlo con un /F….
Despues de una tarde/noche jodida (la de ayer),y de una mañana de mierda (la de hoy), mas o menos esto es lo que pasó…
Sobre las 16:00 se bajo (automaticamente) el dat del día de ayer, el 5958, una vez descargado, se distribuyó (tambien automaticamente) a los 15 repositorios que tenemos repartidos por las oficinas (por aquello de no cargar solamente una linea)…y ahi empezó la gracia…
Equipo actualizado, equipo que se iba a la mierda…
El antivirus lo identificaba como w32/wecorl.a, y con ese nombre, lo mas parecido que encontramos fue esto y el correspondiente parche. Pero era muy antiguo… asi que intentamos ver si teniamos el parche puesto mientras las maquinas iban cascando una a una…
Sobre las 18:25 (50 maquinas kaputtt), los cachondos de mcafee mandan el correo diario…
«Urgent Alert:
McAfee is aware of a w32/wecorl.a false positive with the 5958 DAT file April 21 at 2:00pm (GMT +1), which is affecting numerous customers.
McAfee advises customers NOT to download this DAT and to disable automatic pull and update tasks.
Watch for updates on this issue, which will be sent on a timely basis.»
Xd, vale, todo lo que habiamos intentado mirar no sirve para nada…
Marcamos el 5958 como malo para que no se extienda mas (jodido, porque ya estaba en todos los repositorios), pero… y las maquinas que habian cascado ???
La unica solucion que encontramos fue reinstalar a mano el dat 5957 con /f… en algunas funcionaba y en otras no…
En las que no, tuvimos que copiar el svchost.exe de un equipo bueno a los cascados…
Sobre las 9:30 volvieron a actualizar…
«The 5959 dat files have been released early due to a DAT Issue Emergency with the
5958 DAT Files.
The reason for this DAT Issue Emergency is a ‘W32/Wecorl.a’ False Positive in 5958 DAT.
«.
Entre medias, sacarón un extra.dat para intentar paliarlo, pero el daño ya estaba hecho…Menos mal que pasó a partir de las 17:00. la gente, en cuanto vio que los equipos empezaban a cascar, apagó y se largo a casa (WTF???). por una vez tuvieron suerte (y se salvaron).. XD, asi a ojo solo cascaron un 10% de las maquinas….
«Disculpas aceptadas… Capitan Needa
Xd, acaba de llamarme el comercial para disculparse… si me manda un par de litros de cerveza damos por zanjado el tema…
Este es el post de mcafee que sigue todo el tema…