Bản cập nhật bản nhật mới của phần mềm McAfee đã nhận dạng file svchost.exe là vi rút và “tiêu diệt ngay lập tức” khiến hàng triệu máy tính chạy Windows XP trên toàn cầu chết đứng.

Bắt đầu từ sáng ngày 21/4, hàng triệu người dùng trên thế giới đã gặp phải tình trạng máy tính của họ tự động tắt hoặc liên tiếp khởi động lại mà không thể kiểm soát nổi. Nguyên nhân ban đầu được các chuyên gia trợ giúp nhận định là xuất phát từ lỗi của một bản cập nhật danh sách nhận dạng vi rút mới của phần mềm bảo mật McAfee số 5958 đã tự nhận dạng tập tin hệ thống svchost.exe là một vi rút và tiến hành xóa ngay sau đó.

Không chỉ xóa mất tập tin hệ thống quan trọng khiến máy tính tự động tắt hoặc liên tục khởi động lại, chương trình của McAfee còn vô hiệu hóa khả năng kết nối mạng của máy.

Sau khi sự cố này xảy ra, website hỗ trợ kỹ thuật của McAfee cũng nhanh chóng rơi vào tình trạng “sập mạng” và tê liệt nhiều giờ liền do lượng truy cập quá đông. Mặc dù đã có một số bản sửa lỗi được phát hành nhưng có lẽ tình hình đã quá muộn bởi con số máy tính bị McAfee “hạ gục” đã lên đến hàng triệu trong đó có cả những máy tính của một trung tâm công nghệ lớn thuộc hãng sản xuất chip Intel hay máy tính của trung tâm hỗ trợ khách hàng Dish Network. Theo nhận định của giới chuyên gia bảo mật, danh sách nạn nhân có thể sẽ còn kéo dài hơn nữa trong ngày hôm nay khi số liệu mới được cập nhật.

Trong thông cáo gửi đến các phương tiện truyền thông, McAfee cho biết họ đã gỡ bỏ bản cập nhật này khỏi server để ngăn chặn sự lan rộng của sự cố.

Thông cáo của McAfee viết: “McAfee phát hiện ra rằng đã có một số khách hàng gặp phải sự cố sau khi cài đặt bản cập nhật 5958 phát hành ngày 21/4/2010. Điều tra ban đầu của chúng tôi cho thấy, bản cập nhật này đã khiến quá trình hoạt động của các máy tính sử dụng hệ điều hành Windows XP, đặc biệt là phiên bản SP3 bị ảnh hưởng nặng nề. Chúng tôi đã rút lại bản cập nhật đó khỏi máy chủ để tránh sự lan rộng của sự cố. Các chuyên gia của McAfee đang làm việc khẩn trương với sự ưu tiên cao nhất để hỗ trợ khách hàng bị ảnh hưởng đồng thời cũng sớm phát hàng một bản vá sửa lỗi khác. McAfee thành thật xin lỗi vì sự bất tiện mà chúng tôi đã gây ra cho khách hàng”.

Tuy nhiên, nhiều khách hàng sau đó đã phản hồi và cho rằng McAfee chưa “thành thật” vì cả những máy tính dùng Windows XP SP2 cũng bị ảnh hưởng.

Cho đến cuối ngày 21/4 (theo giờ Việt Nam), đã có khoảng 300.000 máy tính được phục hồi.

Cách sửa lỗi máy tính “chết” vì McAfee

Nếu máy tính của bạn gặp tình trạng tắt đột ngột , trước hết bạn phải ngăn chặn việc này bằng 2 bước:

1. Mở giao diện command prompt bằng cách, tại menu Start > Run, gõ “cmd” sau đó Enter.
2. Bước 2: Gõ: “shutdown -a” vào dòng lệnh nơi con trỏ đang nhấp nháy sau đó Enter. Dòng lệnh này sẽ ngăn chặn việc máy tính tự động tắt đột ngột.

McAfee có 2 cách sửa lỗi và cả 2 đều bao gồm rất nhiều bước nên có thể sẽ khiến mọi người nhầm lẫn. Hãy làm theo cách sau đây:

Đầu tiên, bạn cần phải truy cập vào giao diện của chương trình McAfee qua menu Start sau đó vô hiệu hóa tính năng Access Protection và On-Access Scanner.

• Bước 1: Bấm Start > Programs > McAfee > vi rútScan Console
• Bước 2: Bấm chuột phải vào "Access Protection"
• Bước 3: Chọn "Disable"

Nếu bạn có kết nối Internet, hãy tải file EXTRA.ZIP (tại đây) do McAfee cung cấp và giải nén để có file EXTRA.DAT. Khi đã có file EXTRA.DAT:

Bước 1: Bấm Start > Run > nhập “service.msc” và bấm OK

Bước 2: Bấm chuột phải vào McAfee McShield và chọn "Stop"

Bước 3: Copy file EXTRA.DAT vào thư mục Engine (tại đường dẫn Program Files\Common Files\McAfee\Engine)

Bước 4: Khởi động lại McAfee McShield bằng cách bấm chuột phải vào đó và chọn "Start" trong menu ngữ cảnh xổ ra.

Bước 5: Kích hoạt lại chức năng tự bảo vệ của VirusScan Console

Bước 6: Bấm chuột phải vào "Access Protection”

Bước 7: Chọn "Enable"

Bước 8: Trong vi rútScan Console, truy cập vào mục Quarantine Manager Policy

Bước 9: Bấm vào tab Manager

Bước 10: Bấm chuột phải vào mỗi file trong thư mục Quarantine và chọn "Restore"

Nếu không có kết nối Internet, bạn nên tải EXTRA.DAT vào một ổ lưu trữ USB sạch và copy vào ổ C:

Trước khi thực hiện 10 bước sửa lỗi như đã nói ở trên, bạn cần phải bổ sung file SVCHOST.EXE cho máy tính bị lỗi bằng cách copy file đó từ một máy tính chạy Windows XP khác đang hoạt động tốt.

Sự cố bản cập nhật bị lỗi khiến hệ thống trục trặc là điều hiếm khi xảy ra nhưng lại đã từng xảy ra với hầu hết các phần mềm bảo mật khác. Hồi tháng 12/2009, phần mềm Avast cũng đã từng coi hàng trăm file hệ thống hợp pháp là vi rút, tháng 7/2009 phần mềm của Computer Associates cũng gặp tình trạng tương tự. Tháng 10/2008, AVG còn liệt ZoneAlarm là một dạng mã độc. Đáng chú ý, cách đây đúng 1 tháng, BitDefender cũng “giết” một lượng lớn máy tính chạy Windows 64 bit sau khi người dùng tải về và cài đặt một bản cập nhật mới được phát hành.

Các hãng diệt vi rút khác đều bày tỏ sự cảm thông với McAfee. Mel Morris (CEO của Prevx), David Harley (giám đốc thuật toán của ESET), Graham Cluley (chuyên viên tư vấn cao cấp của Sophos) cho biết lòng ngưỡng mộ với một sản phẩm như McAfee vẫn không thay đổi. Các vi rút ngày càng tinh vi hơn, giả dạng các đặc điểm của HĐH để dễ bề lẩn trốn.

Theo ICTNews (McAfee, Engadget, CNET), SC Magazine UK.