Il n’est plus nécessaire d’imaginer une attaque en DNS spoofing pour détourner de sa fonction première le mécanisme de mise à jour des signatures d’un antivirus : certains éditeurs s’en chargent eux-mêmes. Ainsi McAfee, qui, en « poussant » sa mise à jour DAT 5958, a intégré à sa liste de virus à bloquer impérativement… l’un des fichiers stratégiques de certaines versions du noyau de Windows XP (SP3). Et pas n’importe quel fichier, puisqu’il s’agit, nous apprend le Sans, de Svchost.exe, déclaré positif par l’antivirus de McAfee sous l’appellation de W32/Wecorl.a. Les clients victimes de cette mésaventure sont, depuis 24 H, plongés dans l’enfer d’un reboot systématique. L’éditeur travaille d’arrache-pied pour trouver une solution automatique… mais l’on se demande bien par quel miracle les particuliers frappés par cette crise de cyber-autisme pourraient en réchapper.
Certes, il existe bien une mesure de contournement manuelle conseillée par le response team de NAI. Encore faut-il que la victime possède deux ordinateurs, dont l’un sous un système d’exploitation différent ou non protégé par ce même antivirus. Ceci afin de pouvoir télécharger la « bonne » version de la base de signatures et de récupérer au passage la procédure soit de la « Recommended Manual Recovery Procedure using the Extra DAT where DAT 5958 is currently installed », soit celle de « l’ Alternate Manual Recovery Procedure using DAT 5959 where DAT 5958 is currently installed ». Lesquelles exigent un démarrage en « safe mode » et un art consommé de la commande cd (que ne connaissent généralement plus les usagers grand public des environnements graphiques). Voilà qui nous promet quelques réinstallations massives dans les jours à venir.
