McAfee DAT Version 5958 False Positive bei Windows XP SP3
McAfee veröffentlichte gestern eine neue Antivirus-Signaturdatei DAT 5958, welche auf englischen Windows XP SP3-PCs einen W32/Wecorl.a 0-day Angriff entdeckt. Ursächlich ist ein aggressiver heuristischer Hauptspeicherscan nach Mutationen der Wecorl-Malware. Im Ergebnis wird svchost.exe als potentieller Verursacher erkannt und - je nach Konfiguration der Software – eliminiert.
Svchost.exe befindet sich im Ordner "%SystemRoot%\System32" und stellt einen generischen Hostprozessnamen für Dienste, die aus Dynamic-Link Libraries (DLLs) heraus ausgeführt werden, dar. Es können gleichzeitig mehrere Instanzen von Svchost.exe ausgeführt werden. Jede Svchost.exe-Sitzung kann eine eigene Gruppe von Diensten enthalten. Diese Gruppierung der Dienste sorgt für eine bessere Kontrolle und ein einfacheres Debuggen.
Das Ergebnis dieses Fehltreffers ist entweder ein Bluescreen oder ein DCOM-Fehler, der zu einem Reboot des PCs führt. Die Situation dürfte einigen noch von Sasser bekannt sein – nur dass diesmal die Antivirus-Software der Verursacher ist. Da der RPC-Dienst nicht mehr funktionsfähig ist, sind die PCs nicht mehr über das Netzwerk erreichbar. Sie rebooten möglicherweise in einer unendlichen Schleife. Damit entfällt auch eine zentrale Lösung über das Netzwerk.
Abhilfe schafft eine aktualisierte Antivirus-Signaturdatei und das Wiederherstellen der svchost.exe. Da das Netzwerk nicht mehr funktioniert, geht das nur manuell durch Booten in den abgesicherten Modus und das Ausführen des von McaFee zur Lösung entwickelten Recovery SuperDAT von einem USB-Stick an jedem betroffenen Rechner lokal!
Normalerweise hätte die svchost.exe bei McAfee in der internen Whitelist stehen müssen. Ein normaler Virenscan ignoriert auch mögliche Fehltreffer bei dieser Datei, solange ihre Signatur unbeschädigt ist. In diesem Fall wurde McAfee die Heuristic zu Verhängnis, die im Hauptspeicher nach verdächtigen Mustern sucht und die Whitelist-Funktion aushebelt.
Dieser Vorfall zeigt einmal mehr die Gefahr durch Fehlentscheidungen von Antivirus-Lösungen, wenn die Erkennungsleistung zu aggressiv auf Kosten von False Positives erhöht wird. Microsofts eigene Antivirus-Engine aus der Forefront-Produktreihe zeichnet sich bei Tests in der Vergangenheit immer durch eine extrem niedrige Zahl von False Positives aus und sie betrafen nicht systemrelevante Dateien.
Weitere Informationen
- False positive detection of W32/Wecorl.a in 5958 DAT
https://kc.mcafee.com/corporate/index?page=content&id=KB68780
https://vil.nai.com/vil/5958_false.htm - Recovery SuperDAT
https://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe - McAfee DAT 5958 Update Issues
https://isc.sans.org/diary.html?storyid=8656 - W32/Wecorl.a 0-day?
https://community.mcafee.com/thread/24056
Comments
Anonymous
April 22, 2010
Auweia! http://bit.ly/cOkXovAnonymous
April 23, 2010
Sind wirklich nur englische XPs betroffen? Weil hier stellenweise schon wieder Panik verbreitet wird.Anonymous
April 23, 2010
Mittlerweile sollte sich die Aufregung gelegt haben, weil McAfee das kaputte Pattern nicht mehr ausliefert. Wer also bis jetzt nicht das Problem hatte, sollte keine Schwierigkeiten haben. Ich hatte nur von Kunden mit englischem XP gehört. Ich kann aber nicht aussschliessen, dass auch deutsche Versionen betroffen waren - das konnte man der Kommunikation von McAfee nicht entnehmen.Anonymous
April 23, 2010
Auf https://kc.mcafee.com/corporate/index?page=content&id=KB68787 stehen die MD5s der betroffenen Dateien. Die Datei meines englischen Systems stimmt mit XPPRO_SP3_x86_v2 überein. Die MD5 meines deutschen Systems ist jedoch nicht gelistet.