Sophos o víkendu hlásil falešné pozitivní detekce malwaru

Chybná signatura malwaru způsobila, že antivirové produkty od společnosti Sophos v neděli začaly hlásit důležitý soubor systému Windows jako škodlivý. Někteří lidé tak byli donuceni přestat používat své počítače.

Sophos o víkendu hlásil falešné pozitivní detekce malwaru


Falešná pozitivní detekce označila soubor winlogon.exe, důležitou komponentu subsystému Windows Login pro přihlašování do systému, jako trojského koně Troj/FarFli-CT. Protože byl tento soubor zablokován, uvítala některé uživatele, kteří se pokusili přihlásit do svýh počítačů, černá obrazovka.

Sophos vydal update řešící problém do několika hodin a řekl, že záležitost ovlivnila jen konkrétní 32bitovou verzi Windows 7 SP1 a nikoliv Windows XP, Vista, 8 nebo 10. Počet ovlivněných systémů je podle společnosti minimální.

Jeden z uživatelů Twitteru, kterého problém zasáhl, nicméně řekl, že o malém počtu zákazníků s podobnými komplikacemi velmi pochybuje, že byl v pořadí na lince podpory Sophosu více než dvě hodiny. A stěžovalo si jich více.

V mnoha případech stačilo, když administrátoři odstranili falešná oznámení ze Sophos Enterprise Console, Sophos Central či Sophos Home tím, že je označili za vyřešená nebo že je berou na vědomí.

Uživatelé, kteří se setkali s černou obrazovkou, museli restartovat v nouzovém režimu, zakázat antiviru od Sophosu v automatickém spuštění při startu a pak normálně nabootovat systém.

Sophos není první antivirovou společností, která vypustila špatnou definici a tím ovlivnila počítače uživatelů.

Ke cti společnosti je třeba říct, že zareagovala rychle a problém vyřešila v krátkém čase ještě v průběhu víkendu, zůstává však otázkou, jak může ještě v roce 2016 antivirový program stále označovat legitimní systémové soubory Windows jako škodlivé.

Falešné pozitivní detekce byly před lety běžnější, ovšem většina antivirových společností od té doby sestavila „whitelisty“ známého softwaru, aby se takovým situacím vyhnula. Konkrétně soubory Windows by měly být na vrcholu těchto whitelistů, neboť jejich blokování či dokonce smazání může vést k nepoužitelnosti počítače.

Zdroj: CIO.com


Úvodní foto: © JRB - Fotolia.com




Komentáře