McAfee false positive detection of w32/wecorl.a in DAT v.5958 ~ Windows Administrator Blog

Friday, April 23, 2010

McAfee false positive detection of w32/wecorl.a in DAT v.5958

By dtp 11:41:00 PM No comments

โปรแกรม Antivirus ของ McAfee เข้าใจผิดว่าไฟล์ svchost.exe เป็นไวรัส w32/wecorl.a
บทความโดย: Thai Windows Administrator Blog

มีรายงานว่าผู้ใช้ซอฟต์แวร์รักษาความปลอดภัย Antivirus ของ McAfee บนเครื่องคอมพิวเตอร์ Windows XP Service Pack 3 ที่ทำการอัพเดทไฟล์ไวรัสเดฟินิชัน DAT v.5958 ที่ McAfee ออกเมื่อวันที่ 21 เมษายน 2553 จะประสบปัญหาวินโดวส์ขึ้นจอฟ้าหรือ Blue Screens of Death (BSoD) และชัทดาวน์โดยอัตโนมัติ

สำหรับสาเหตุของปัญหาครั้งนี้ เกิดจากความผิดพลาดในไฟล์ไวรัสเดฟินิชัน DAT v.5958 ซึ่งทำให้เกิด false positive detection ในการทำงานของซอฟต์แวร์ Antivirus ของ McAfee ส่งผลให้โปรแกรมเข้าใจผิดว่าโปรเซสที่รันภายใต้ svchost.exe (ซึ่งเป็นไฟล์ระบบของวินโดวส์) เป็นไวรัส w32/wecorl.a จึงทำการกักกันหรือลบโปรเซสของไฟล์ Svchost.exe ส่งผลให้เกิดปัญหาต่างๆ ดังนี้
• เครื่องคอมพิวเตอร์ขึ้นจอฟ้า (BSoD) และทำการชัทดาวน์โดยอัตโนมัติ เมื่อเกิดความผิดพลาดในการทำงานของ DCOM หรือ RPC
• เครื่องคอมพิวเตอร์ทำงานได้ตามปกติแต่ไม่สามารถเชื่อมต่อระบบเน็ตเวิร์กได้
• เครื่องคอมพิวเตอร์ทำการรัน Bugcheck

โดยทั้ง McAfee และ Microsoft ได้ออกมายืนยันอย่างเป็นทางการแล้วว่าปัญหานี้ส่งผลกระทบเฉพาะกับเครื่องคอมพิวเตอร์ที่ใช้ Windows XP SP3 เท่านั้น และปัจจบัน McAfee ได้ออกไฟล์ไวรัสเดฟินิชัน DAT v.5959 เพื่อแก้ไขปัญหา false positive detection ดังกล่าวนี้แล้ว และนอกจากนี้ McAfee ยังได้ออกไฟล์ EXTRA.DAT สำหรับช่วยเหลือผู้ใช้ที่ได้ทำการอัพเดทไฟล์ไวรัสเดฟินิชัน DAT v.5958 เป็นที่เรียบร้อยแล้ว

วิธีการแก้ไขปัญหา
สำหรับผู้ใช้ที่ทำการอัพเดทไวรัสเดฟินิชัน DAT file v.5958 แล้วเกิดปัญหาสามารถทำการแก้ไขปัญหาด้วยตนเองตามขั้นตอนดังนี้
1. ทำการรีสตาร์ทเครื่องคอมพิวเตอร์ใน Safe Mode โดยการกดปุ่ม F8 ก่อนที่จะปรากฏหน้าจอ Windows splash
2. ทำการล็อกออนเข้าระบบคอมพิวเตอร์ จากนั้นกดปุ่ม CTRL+ALT+DEL แล้วคลิก Start Windows Task Manager
3. คลิกเมนู File จากนั้นคลิก New Task (Run…)
4. ในหน้าต่างคอมมานด์พร็อมท์ ให้พิมพ์ cmd.exe เสร็จแล้วกดปุ่ม Enter
5. จากนั้นทำการรันคำสั่งตามด้านล่าง (พิมพ์คำสั่งตามด้วยกดปุ่ม Enter)

ren "%programfiles%\Common Files\McAfee\Engine\avvscan.dat" avvscan.old

หมายเหตุ: คำสั่งนี้เป็นการลบ McAfee virus definitions ดังนั้นเพื่อความปลอดภัย ให้ทำการอัพเดทไวรัสเดฟินิชันให้เป็นปัจจุบันเมื่อทำการแก้ปัญหาเสร็จเรียบร้อยแล้ว

6. จากนั้นทำการรันคำสั่งด้านล่าง (พิมพ์คำสั่งตามด้วยกดปุ่ม Enter)

copy %systemroot%\system32\dllcache\svchost.exe %systemroot%\system32\

New Zero-Day vulnerabilities in Internet Explorer พบช่องโหว่ความปลอดภัยใหม่ใน Internet Explorer บทความโดย: Thai Windows Administrator Blog ไมโครซอฟท์ (Microsoft) เพิ่งจะออกแพตซ์ (Patch) เป็นกรณีพิเศษ (Out-of-Band) เพื่อแก้ปัญหาความปลอดภัยไปร้ายแรงใน Internet Explorer (อ่า… Read More
Malware found on HTC Magic came from the memory cardsVodafone บอกว่า: มัลแวร์ที่พบบนเครื่องโทรศัพท์ HTC Magic ติดมากับ Memory Cards บทความโดย: Thai Windows Administrator Blog สืบเนื่องจากมีรายงานว่านักวิจัยของ Panda Security ได้ตรวจพบมัลแวร์ (Malware) ที่มีความเชื่อมโยงกับบอท… Read More
Clickjacking อีกภัยคุกคามของการใช้อินเทอร์เน็ตClickjacking อีกหนึ่งภัยคุกคามของการใช้งานอินเทอร์เน็ต บทความโดย: Thai Windows Administrator Blog ภัยคุกคามผู้ใช้งานอินเทอร์เน็ตนั้น นับวันยิ่งจะมีมากขึ้นและมีภัยใหม่เกิดขึ้นเรื่อย อย่างไวรัส เวิร์ม ไทรจัน มีข่าวระบาดเกือบทุ… Read More
Energizer USB charger infected with Trojanตลึง! พบ Trojan ในซอฟต์แวร์มอนิเตอร์การทำงานเครื่องชาร์จแบตเตอรี่ Energizer Duo USB บทความโดย: Thai Windows Administrator Blog U.S. Computer Emergency Response Team หรือ US-CERT ซึ่งเป็นหน่วยงานที่รับผิดชอบดูแลเกี่ยวกับการร… Read More
Malware found on HTC Magic Android phone from Vodafoneนักวิจัยของ Panda Security อ้างว่าพบมัลแวร์บนเครื่องโทรศัพท์ HTC Magic รุ่นใหม่จาก Vodafone บทความโดย: Thai Windows Administrator Blog นักวิจัยของ Panda Security ซึ่งเป็นบริษัทพัฒนาโปรแกรมแอนตี้ไวรัสในประเทศสเปน อ้างว่าพบมั… Read More