Los productos antivirus de Sophos detectan como malicioso winlogon.exe
Unas firmas de malware dañadas causaron que los productos antivirus de Sophos detectasen el domingo como malicioso un archivo crítico de Windows, previniendo que algunos usuarios pudieran acceder a sus ordenadores.
La detección del falso positivo en winlogon.exe, un importante componente del subsistema de sesión de Windows, era de un programa troyano llamado Troj/FarFli-CT. Debido a que el archivo se bloquea, algunos usuarios que intentaron acceder a sus ordenadores fueron recibidos por una pantalla en negro.
Sophos publicó a las pocas horas una actualización para corregir el problema y dijo que sólo afectó a una versión específica de Windows 7 SP1 de 32 bits y no Windows XP, Vista, 8 ó 10.
"Con base al volumen de casos actuales y comentarios de los clientes, creemos que el número de sistemas afectados es mínimo y se limita a un pequeño número de casos", dijo la compañía en un artículo de soporte.
Un usuario de Twitter que fue afectado por el problema, dijo dudar altamente de que se vieran afectados sólo un pequeño número de clientes, mientras que otro informó que él ha estado en espera durante más de dos horas tratando de contactar por teléfono con el soporte de Sophos.
"Un correo electrónico habría sido agradable", dijo un usuario de Sophos a través de Twitter. "No me puedo imaginar el costosa tiempo extra y pánico del personal de TI que como yo trabajamos en esto".
Otro usuario dijo en broma que este falso positivo en realidad había eliminado parte de su fin de semana.
En muchos casos, los administradores sólo tendrán que limpiar las falsas alertas de Sophos Enterprise Console, Sophos Central, Sophos UTM o Sophos Home, si se marcan como resueltas o reconocidas, según la compañía.
Los usuarios que se encontraron con la pantalla en negro tendrán que reiniciar el sistema en modo seguro, desactivar que se inicie automáticamente el servicio de Sophos Anti-Virus y luego iniciar el sistema operativo normalmente. Instrucciones más detalladas están disponibles en el documento de soporte de Sophos.
Sophos no es la primera compañía de antivirus en emitir una mala definición que afectó a equipos de los usuarios.
A su favor, la empresa reaccionó rápidamente y arregló el problema de una manera oportuna durante un fin de semana, pero continúa el interrogante de por qué en el año 2016 un programa antivirus todavía pueden marcar como maliciosos los archivos legítimos del sistema de Windows.
La detecciones de falsos positivos solía ser mucho más frecuentes hace años, pero la mayoría de las compañías antivirus tienen ya construidas listas blancas de software conocido para evitar este tipo de incidentes. Los archivos de Windows en particular, deben ser una prioridad de las listas blancas porque el bloqueo o su eliminación puede dejar a un equipo inutilizable.