McAfee-Update bringt Anwender zum Verzweifeln

Big DataData & StorageEnterpriseRechtRegulierungSicherheit

McAfee hat vor Problemen mit einem gestern veröffentlichten Signaturupdate (Version 5958 DAT) gewarnt. Es stuft die Windows-Systemdatei “svchost.exe” fälschlicherweise als den Schädling “W32/Wecorl.a” ein. Davon betroffen sind nur Nutzer von Windows XP SP3.

Die Rechner der betroffenen Anwender fuhren einfach automatisch herunter. So verabschiedeten sich der Reihe nach in einer großen Düsseldorfer Anwaltskanzlei die Computer, berichtet das Handelsblatt. Ein Neustart der Rechner war unmöglich. Die Folge: Gerichtsfristen wurden reihenweise versäumt, Telefonkonferenzen scheiterten und E-Mails gingen verloren. Laut SANS Internet Storm Center kappte das McAfee-Update mit der Löschung von svchost.exe alle Netzwerkverbindungen. In Unternehmen verbreite es sich sehr schnell über McAfees ePolicyOrchestrator, der Signaturupdates in Netzwerken verteilt.

Dem Sicherheitsanbieter zufolge wird die Datei bei einem Scan des Hauptspeichers als vermeintlicher Schädling erkannt. Dadurch werde die eingesetzte Technik, die sogenannte ‘False Positives’ eigentlich verhindern soll, umgangen. Aus demselben Grund sei der Fehler auch nicht von der Qualitätssicherung entdeckt worden.

McAfee hat das Update kurz nach dem Auftreten der Probleme von der Website genommen, doch da war es schon zu spät. Nach Angaben eines Administrators einer US-Universität sind in seinem Netzwerk rund 1200 PCs unbrauchbar. Wie ZDNet aus anonymer Quelle erfuhr, sind bei Intel ebenfalls zehntausende Computer ausgefallen. An der medizinischen Fakultät der Universität Michigan fielen insgesamt 8000 von 25.000 Computern aus. Nur noch Notfälle wurden operiert, viele Patienten wurden auf einen späteren Zeitpunkt vertröstet.

Inzwischen hat McAfee die Signaturen seiner Antivirensoftware auf Version 5959 DAT aktualisiert. Betroffene Kunden müssen nach einem Update die gelöschte Datei “svchost.exe” manuell aus der Quarantäne wiederherstellen. Alternativ befindet sie sich in den Ordnern “C:WindowsServicePackFilesi386” oder “C:WindowsSystem32dllcache”.

Eine genaue Anleitung findet sich in einem Knowledge-Base-Artikel des Sicherheitsanbieters.

McAfee
Ein fehlerhaftes Signatur-Update von McAfee stuft die Systemdatei unter Windows XP SP3 als Schädling ein. Betroffene Systeme waren anschließend unbrauchbar.
Foto: McAfee