Sophos detectó falsos positivos en equipos con Windows
El hecho ha tenido lugar a lo largo del pasado fin de semana, momento en el que varios usuarios informaron de que un fichero legítimo de Windows era catalogado como malware y les impedía acceder a su ordenador. La compañía rápidamente tomó cartas en el asunto.
El falso positivo detectado es winlogon.exe, un importante componente del subsistema de Login de Windows, que fue catalogado como programa troyano Troj/FarFli-CT. Dado que el archivo fue bloqueado por la solución de seguridad antivirus, algunos usuarios reportaron que tuvieron problemas al quedarse la pantalla del ordenador en negro.
Sophos lanzó una actualización al problema unas pocas horas después, mencionando que el problema habría afectado a los usuarios de una versión específica de Windows 7 SP1 de 32 bits, y en ningún caso a usuarios con otras versiones de Windows XP, Vista, 8 o 10.
La compañía se disculpa en su página web, informando que un fallo en uno de sus sistemas de verificación de protección de endpoint provocó que un fichero de Windows fuese catalogado como malware bajo el uso de la versión Windows 7 SP1 de 32 bits. Además, desde Sophos afirman que el impacto en los sistemas ha sido mínimo dado el reducido número de casos que les han reportado.
Dentro del entorno corporativo, los administradores tan solo tendrán que limpiar las alertas falsas producidas por la consola Sophos Enterprise o Sophos Central. Aquellos que se hayan quedado con la pantalla de Windows en negro, tendrán que reiniciar el sistema en modo seguro, desactivar el servicio Antivirus de Sophos (el cual se inicia automáticamente) para después volver a iniciar Windows de manera habitual. El fabricante ha hecho público un documento con instrucciones más detalladas sobre la forma de proceder.
Los usuarios todavía se preguntan cómo es posible que a estas alturas, un programa antivirus puede llegar a marcar los archivos legítimos del sistema de Windows como maliciosos, y más si tenemos en cuenta que se trata de la versión de Windows 7 que ya lleva tiempo en el mercado, y no alguna de Windows 10 que haya podido recibir recientemente alguna actualización importante. La parte positiva es que la empresa reaccionó rápidamente ante el problema, a pesar de suceder en fin de semana, mitigando el que fueran muy cuantiosos los usuarios afectados.
La mayoría de fabricantes de programas de seguridad cuentan ya con listas blancas para evitar este tipo de incidentes. Los archivos de Windows, en particular, deben ser una prioridad para pasar a formar parte de dichas listas, puesto que el bloque o eliminación puede dejar a un ordenador inutilizable. En esta ocasión, no parece haber sido tan grave.
