L'antivirus de CA s'en prend à Windows 2003

Les histoires de fichiers importants supprimés par un antivirus, nous avons déjà vu ça par le passé : un antivirus reconnaît, après une mise à jour particulière, un fichier du système ou essentiel au fonctionnement d’un logiciel comme une menace potentielle.

Computer Associates édite un certain nombre de solutions logicielles destinées aux professionnels. Parmi celles-ci, un antivirus destiné, notamment, à la protection des serveurs fonctionnant sous Windows. Seulement voilà, une mise à jour a quelque peu mis la pagaille dans les entreprises possédant cet antivirus.

Le bug de l’antivirus, spécifique à Windows 2003 Server, est arrivé par la mise à jour du premier septembre. Une fois cette mise à jour en place, l’antivirus a reconnu l’exécutable lsass.exe comme un malware, et plus précisément le troyen Win32/Lassrv.B. L’antivirus, détectant une menace, efface alors le fichier et provoque un conflit, tout en empêchant le server de redémarrer.

LSASS (Local Security Authority Subsystem Service) est un effet un élément important du système : il gère l’ensemble des mécanismes de sécurité et d’authentification locales des utilisateurs sur une machine. Présent sur les systèmes Windows depuis la version 2000, il est nécessaire pour l’ouverture d’une session. Si le nom vous dit quelque chose, c’est que ce fichier contenait il y a un certain temps une faille qui fut exploitée par un ver que tout le monde connaît : Sasser.

Pour les chanceux qui n’ont pas effectué de mise à jour automatique des antivirus Computer Associates récemment, il n’y a désormais plus de danger. Pour ceux qui sont touchés par le problème, l’éditeur a mis en place sur son site une manipulation qui n’enchantera aucun administrateur réseau :

1. Créer une disquette de boot NTFS
2. Démarrer le serveur grâce à cette disquette
3. Copier le fichier lsass.exe vers le répertoire system32 de Windows
4. Redémarrer en mode sans échec
5. Lancer l’éditeur de base de registre : chercher la clé RPCThreadContext dans HKLM\Software\ComputerAssociates\CurrentVersion\InternalSettings et fixer sa valeur à 0
6. Dans le moteur Inoculate de l’antivirus, changer la valeur du temps réel
7. Redémarrer normalement le serveur
8. Faire une mise à jour des signatures

Tout à fait charmant.

Source : ZDNet Australie

Vincent Hermann le 5 septembre 2006 à 15:12 (22 081 lectures)

Tweeter

• 05 / 09 / 2006 : Antivirus, résultats d'un test de performances des scanners
• 05 / 09 / 2006 : zCodec : un codec vidéo révolutionnaire ? Non, un malware
• 10 / 08 / 2006 : Symantec : dernier épisode de la trilogie sécuritaire Vista
• 30 / 05 / 2006 : Un antivirus gratuit pour les testeurs de Vista
• 20 / 04 / 2006 : L'OCDE veut une coordination mondiale contre le spam
• 01 / 02 / 2006 : Une coalition pour définir des standards anti-spywares
• 26 / 01 / 2006 : La Stop Badware Coalition, ou comment se faire malware
• 08 / 09 / 2005 : Computer Associates ouvre 14 brevets à l'open source

Actu Précédente Actu Suivante