Спецпроекты

ПО Софт Безопасность Администратору Новости поставщиков Техника Маркет

Антивирус Symantec отправил в «синий экран смерти» тысячи ПК по всему миру

Октябрьское обновление комплексного решения по безопасности Symantec Endpoint Protection вывело из строя множество компьютеров под управлением практически всех современных версий Windows для десктопов. Symantec оперативно выпустила исправление, предотвращающее появление «синего экрана смерти».

Обновление, которое вызывает BSOD

Пользователи Symantec Endpoint Protection (SEP), комплексного антивируса и файрвола, столкнулись с отказом в работе операционной системы Windows, пишет Bleepingcomputer.

В результате установки свежих определений (r61) от 14 октября 2019 г. для входящей в состав SEP системы предотвращения вторжений (Intrusion Prevention System, IPS) некоторые ПК начали показывать «синий экран смерти» (BSOD, Blue Screen of Death) с ошибкой BAD_POOL_CALLER (c2) или KERNEL_MODE_HEAP_CORRUPTION (13A).

Критические ошибки, по данным ресурса, вызывают драйверы IDSvix86.sys/IDSvia64.sys, являющиеся компонентом Endpoint Protection.

Реакция пользователей

По сообщению ряда пользователей и системных администраторов в Twitter, Reddit и на официальном форуме поддержки Symantec, продолжать работу на ПК после BSOD невозможно, при этом ошибка возникает не сразу же после установки обновлений, а в произвольный момент времени. Тем не менее, помогает загрузка в безопасном режиме и удаление «проблемных» определений.

Одна из многочисленных жалоб на BSOD после обновления SEP (форум Reddit)

Достоверно неизвестно, сколько всего компьютеров оказались выведенными из строя. К примеру, пользователь Reddit под никнеймом eaglebtc сообщает о 10 тыс. машин, пострадавших в результате сбоя, только в организации, где он работает. Другие источники сообщают о десятках «проблемных» ПК в различных компаниях.

Нельзя с уверенностью сказать, какие из версий Windows могут стать «жертвой» SEP и начать демонстрировать «синий экран смерти». Однако, по отзывам пользователей, среди них – как минимум, Windows 7, 8 и Windows 10. О случаях выхода из строя серверов на базе Windows Bleepingcomputer не известно.

Действия Symantec

Symantec признала наличие проблемы и 15 октября выпустила внеочередное (r62) обновление для Endpoint Protection, призванное ее исправить. На своем портале поддержки компания опубликовала статью, в которой рекомендуется установить исправление всем пользователям SEP, в том числе и тем, чьи системы пока еще не уходят в BSOD.

Сделать это можно с помощью автоматического средства обновления LiveUpdate или вручную, предварительно скачав новые определения IPS непосредственно с сайта Symantec. Владельцам SEP, ПК которых в результате ошибки перестали запускаться, вероятно, придется загрузить Windows в безопасном режиме.

Предыдущие сбои из-за «конфликтов» антивирусов и Windows

В августе 2019 г. системные администраторы столкнулись с тем, что SEP и антивирус Norton блокировали обновления Windows 7 и Server 2008 R2, потому что не поддерживали подпись SHA-2, которую начала использовать Microsoft. О переходе на новую подпись Symantec была предупреждена за полгода.

В апреле 2019 г. Microsoft выпустила новые патчи безопасности для всех ОС, начиная с Windows 7, «ломающие» популярное антивирусное ПО, в том числе Avast и McAfee. Если на ПК был установлен антивирус, то система начинала «тормозить» или вовсе переставала загружаться. Примерно в то же время «поломались» и антивирусные решения компании Sophos: Endpoint Security and Control и Central Endpoint.

В марте 2019 г. CNews сообщал о том, что антивирусные средства Microsoft — Windows Defender Antivirus, Microsoft Endpoint Protection и Microsoft Security Essentials — в течение некоторого времени вызывали проблемы у пользователей Windows 7, 8.1 и нескольких версий Windows Server (2003, 2008, 2012). Перечисленные программы «падали» с разными кодами ошибок. Возникновение проблем связывали с последними на тот момент обновлениями базы сигнатур вредоносного ПО — 1.289.1521.0 от 18 марта 2019 г.

В феврале 2017 г. компания Webroot настолько неудачно обновила свой антивирус для корпораций SecureAnywhere Business, что часть компьютеров в компаниях показали «синий экран смерти» после запуска продукта. Восстановить работу ПК можно было лишь отключив защиту непрямым способом. Webroot поспешила выпустить следующее обновление, чтобы ликвидировать последствия предыдущего.

Дмитрий Степанов

Короткая ссылка