McAfee DAT Version 5958 False Positive bei Windows XP SP3

  • Article

McAfee veröffentlichte gestern eine neue Antivirus-Signaturdatei DAT 5958, welche auf englischen Windows XP SP3-PCs einen W32/Wecorl.a 0-day Angriff entdeckt. Ursächlich ist ein aggressiver heuristischer Hauptspeicherscan nach Mutationen der Wecorl-Malware. Im Ergebnis wird svchost.exe als potentieller Verursacher erkannt und - je nach Konfiguration der Software – eliminiert.

Svchost.exe befindet sich im Ordner "%SystemRoot%\System32" und stellt einen generischen Hostprozessnamen für Dienste, die aus Dynamic-Link Libraries (DLLs) heraus ausgeführt werden, dar. Es können gleichzeitig mehrere Instanzen von Svchost.exe ausgeführt werden. Jede Svchost.exe-Sitzung kann eine eigene Gruppe von Diensten enthalten. Diese Gruppierung der Dienste sorgt für eine bessere Kontrolle und ein einfacheres Debuggen.

Das Ergebnis dieses Fehltreffers ist entweder ein Bluescreen oder ein DCOM-Fehler, der zu einem Reboot des PCs führt. Die Situation dürfte einigen noch von Sasser bekannt sein – nur dass diesmal die Antivirus-Software der Verursacher ist. Da der RPC-Dienst nicht mehr funktionsfähig ist, sind die PCs nicht mehr über das Netzwerk erreichbar. Sie rebooten möglicherweise in einer unendlichen Schleife. Damit entfällt auch eine zentrale Lösung über das Netzwerk.

Abhilfe schafft eine aktualisierte Antivirus-Signaturdatei und das Wiederherstellen der svchost.exe. Da das Netzwerk nicht mehr funktioniert, geht das nur manuell durch Booten in den abgesicherten Modus und das Ausführen des von McaFee zur Lösung entwickelten Recovery SuperDAT von einem USB-Stick an jedem betroffenen Rechner lokal!

Normalerweise hätte die svchost.exe bei McAfee in der internen Whitelist stehen müssen. Ein normaler Virenscan ignoriert auch mögliche Fehltreffer bei dieser Datei, solange ihre Signatur unbeschädigt ist. In diesem Fall wurde McAfee die Heuristic zu Verhängnis, die im Hauptspeicher nach verdächtigen Mustern sucht und die Whitelist-Funktion aushebelt.

Dieser Vorfall zeigt einmal mehr die Gefahr durch Fehlentscheidungen von Antivirus-Lösungen, wenn die Erkennungsleistung zu aggressiv auf Kosten von False Positives erhöht wird. Microsofts eigene Antivirus-Engine aus der Forefront-Produktreihe zeichnet sich bei Tests in der Vergangenheit immer durch eine extrem niedrige Zahl von False Positives aus und sie betrafen nicht systemrelevante Dateien.

Weitere Informationen