Han usado tu antivirus para borrar archivos críticos de tu PC: arréglalo
los antivirus es el programa encargado de analizar todos los archivos de nuestro ordenador en busca de virus o posibles amenazas y, en caso de detectar alguno de ellos, eliminarlo lo antes posible. Para ello, utiliza bases de datos avanzadas, así como la ayuda de la nube y sistemas de análisis de comportamiento, para que el programa sepa diferenciar entre archivos seguros y fiables y amenazas y no ponga en riesgo la integridad del sistema. Sin embargo, una falla de seguridad ha estado permitiendo que varios antivirus eliminar archivos críticos del sistema.
Como podemos ver en el informe de Incumplimiento seguro, varios antivirus populares para Windows, como Microsoft Defender, Avast, AVG y Trend Micro, se han visto afectados por un error que permitía a cualquier infractor, sin permisos en la computadora, forzarlos a eliminar archivos del sistema que el antivirus no debería tener permisos. . Esto puede conducir a errores y problemas con el propio sistema operativo, a la eliminación de los archivos personales del usuario, e incluso puede hacer que nuestro sistema sea completamente inaccesible y no pueda arrancar.
Los investigadores que han detectado este problema lo han clasificado como un exploit de tipo «limpiador de datos». Dado que los antivirus son excelentes programas para borrar archivos (ya que esa es una de sus finalidades), y siempre se ejecutan con el máximo nivel de privilegios para actuar contra el malware, este fallo de seguridad supone un grave problema para los usuarios.
Un ejemplo de este fracaso es simple. Creamos un directorio falso, por ejemplo, C:/temp/Windows/System32/drivers, y copiamos en él un archivo potencialmente peligroso que tiene el nombre de un archivo real de Windows, como «ndis.sys». Este archivo lo mantenemos abierto para evitar que el antivirus lo borre, y cuando lo detecta, se crea una orden de borrado para este archivo. Y este, al estar abierto, se borrará tras un reinicio.
Una vez creada la orden de borrado, y antes de reiniciar el PC, borramos todo el directorio “temp” que hemos creado, y creamos una función para redirigir “temp” a “C:/”. De esta forma, lo que estará haciendo el antivirus en realidad será eliminar “C:/Windows/System32/drivers/ndis.sys”, un archivo clave del sistema.
Cómo solucionar este problema (o revertir el daño)
Según informan los investigadores de seguridad, más de la mitad de los antivirus que se han probado son vulnerables a este problema. Afortunadamente, las empresas de seguridad no han tardado en corregir el problema y ya han lanzado un parche de seguridad que corrige estas fallas para evitar que el antivirus elimine archivos críticos del sistema sin permiso.
Si tenemos instalado en el equipo antivirus Windows, Avast/AVG o Trend Micro, lo que debemos hacer es actualizar antivirus a las ultimas versiones, ya que resuelven este problema y hacen que estas soluciones de seguridad sean invulnerables al exploit. Por el contrario, si tenemos instalados otros antivirus, como McAfee o Bitdefender, debemos saber que estos no han sido vulnerablesy usarlos es seguro.
Si recientemente hemos notado que el ordenador ha empezado a funcionar mal, puede que se haya debido a este fallo. En ese caso, lo que podemos hacer es intenta restaurar el pc a un punto anterior para recuperar archivos eliminados, ejecute el comando «SFC /scannow» para verificar la integridad de todos los archivos de Windows y restaurar aquellos que faltan o están dañados, o finalmente, reinstalar ventanas para recuperar todos los archivos originales del sistema.