21 kwietnia br. firma McAfee udostępniła aktualizację swojego oprogramowania antywirusowego - VirusScan. Jeden z elementów aktualizacji, definicja wirusów zapisana w pliku .dat 5958, spowodował poważne problemy w działaniu systemu operacyjnego Windows XP z Service Packiem 3.

Definicja błędnie zidentyfikowała jeden z kluczowych elementów Windows - plik svchost.exe - jako szkodliwe oprogramowanie, które program antywirusowy próbował usunąć lub objąć kwarantanną. W wyniku tego systemy ulegały awarii, której przejawem był m.in. cykl nieustannych restartów komputerów.

W środowe popołudnie McAfee udostępniła zarówno zaktualizowaną, poprawną wersję feralnego pliku .dat, jak również narzędzie naprawcze SuperDAT Remediation Tool, przywracające plik svchost.exe. Firma umieściła też na swoich stronach wskazówki dla użytkowników, jak uporać się z problemami.

Przestępcy nie śpią

Zamieszanie natychmiast wykorzystali cybeprzestępcy. W blogu Panda Labs czytamy, że zdołali oni wpłynąć na wyniki wyszukiwania w Google i Bing. Użytkownik po wpisaniu określonej frazy w polu wyszukiwania, np. Mcafee Update, Mcafee 5958 czy Svchost.exe Virus otrzymywał w wynikach adresy URL prowadzące do niebezpiecznych witryn, rozpowszechniających fałszywe antywirusy.

Istnienie zagrożenia potwierdziła firma Sophos. Graham Cluley, konsultant ds. bezpieczeństwa pisze: "Te zainfekowane witryny znajdują się na pierwszej stronie wyników wyszukiwania Google. Bardzo prawdopodobne, że wiele osób kliknie na nie. Jeśli odwiedzisz odnośniki, mogą pojawić się ostrzeżenia pop-up z informacją na temat kwestii bezpieczeństwa. Ostrzeżenia te są fałszywe i mają na celu skłonienie użytkownika do pobrania niebezpiecznego oprogramowania.

Wg przedstawiciela Sophos manipulowanie wynikami wyszukiwania (tzw. black hat SEO) jest dziś jednym z najszybciej rozwijających się obszarów cyberprzestępczości. Twórcy szkodliwych aplikacji wiedzą, że ludzie użyją wyszukiwarki internetowej by znaleźć najświeższe informacje na ważne dla nich tematy.