actualité
 L'actualité informatique et multimédia
 L'antivirus de CA s'en prend à Windows 2003
 Sarah Connor ? Non, c'est à côté
Logiciels

crane virus malware pirateLes histoires de fichiers importants supprimés par un antivirus, nous avons déjà vu ça par le passé : un antivirus reconnaît, après une mise à jour particulière, un fichier du système ou essentiel au fonctionnement d’un logiciel comme une menace potentielle.

Computer Associates édite un certain nombre de solutions logicielles destinées aux professionnels. Parmi celles-ci, un antivirus destiné, notamment, à la protection des serveurs fonctionnant sous Windows. Seulement voilà, une mise à jour a quelque peu mis la pagaille dans les entreprises possédant cet antivirus.

Le bug de l’antivirus, spécifique à Windows 2003 Server, est arrivé par la mise à jour du premier septembre. Une fois cette mise à jour en place, l’antivirus a reconnu l’exécutable lsass.exe comme un malware, et plus précisément le troyen Win32/Lassrv.B. L’antivirus, détectant une menace, efface alors le fichier et provoque un conflit, tout en empêchant le server de redémarrer.

LSASS (Local Security Authority Subsystem Service) est un effet un élément important du système : il gère l’ensemble des mécanismes de sécurité et d’authentification locales des utilisateurs sur une machine. Présent sur les systèmes Windows depuis la version 2000, il est nécessaire pour l’ouverture d’une session. Si le nom vous dit quelque chose, c’est que ce fichier contenait il y a un certain temps une faille qui fut exploitée par un ver que tout le monde connaît : Sasser.

Pour les chanceux qui n’ont pas effectué de mise à jour automatique des antivirus Computer Associates récemment, il n’y a désormais plus de danger. Pour ceux qui sont touchés par le problème, l’éditeur a mis en place sur son site une manipulation qui n’enchantera aucun administrateur réseau :
  1. Créer une disquette de boot NTFS
  2. Démarrer le serveur grâce à cette disquette
  3. Copier le fichier lsass.exe vers le répertoire system32 de Windows
  4. Redémarrer en mode sans échec
  5. Lancer l’éditeur de base de registre : chercher la clé RPCThreadContext dans HKLM\Software\ComputerAssociates\CurrentVersion\InternalSettings et fixer sa valeur à 0
  6. Dans le moteur Inoculate de l’antivirus, changer la valeur du temps réel
  7. Redémarrer normalement le serveur
  8. Faire une mise à jour des signatures
Tout à fait charmant.

Rédigée par le mardi 05 septembre 2006 à 15h12 (19547 lectures)
Source de l'INformation : ZDNet Australie
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news

Il y a 54 commentaires dont 54 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

05 septembre 2006   Antivirus, résultats d'un test de performances des scanners
05 septembre 2006   zCodec : un codec vidéo révolutionnaire ? Non, un malware
10 août 2006   Symantec : dernier épisode de la trilogie sécuritaire Vista
30 mai 2006   Un antivirus gratuit pour les testeurs de Vista
20 avril 2006   L'OCDE veut une coordination mondiale contre le spam
01 février 2006   Une coalition pour définir des standards anti-spywares
26 janvier 2006   La Stop Badware Coalition, ou comment se faire malware
08 septembre 2005   Computer Associates ouvre 14 brevets à l'open source

Recherches relatives : - -