Joerg´s IT-Tech Blog

Microsoft Technologien und über den Tellerrand hinaus, Aber vorher das TESTEN nicht vergessen!

Windows XP SP3: McAfee DAT Version 5958 False Positive

Posted by JoergS - 22. April 2010

Hi,

heute kam es bei einigen Windows XP SP3 + McAfee Nutzern zu False Positive Problem nach dem Update der DAT Version 5958.

Die neue Antivirus-Signaturdatei DAT 5958, die McAfee gestern veröffentlicht hat, führt dazu, dass auf englischen Windows XP SP3-PCs, einen W32/Wecorl.a 0-day Angriff entdeckt wird. Ursache ist ein aggressiver heuristischer Hauptspeicherscan nach Mutationen der Wecorl-Malware, weshalb der Prozess svchost.exe („%SystemRoot%\System32“) als potentieller Verursacher erkannt wird. Je nach Konfiguration der Software, wird die Datei dann entweder in Quaratäne gesetzt oder sogar gelöscht.

Das Ergebnis dieses Fehltreffers ist entweder ein Bluescreen oder ein DCOM-Fehler, der zu einem Reboot des PCs führt und möglicherweise in einer unendlichen Schleife. Damit entfällt auch eine zentrale Lösung über das Netzwerk.

Eine aktualisierte McAfee Antivirus-Signaturdatei und das Wiederherstellen der svchost.exe, schafft Abhilfe. Das geht aber nur durch das manuelle Booten in den abgesicherten Modus und das Ausführen des von McAfee zur Lösung entwickelten Recovery SuperDAT von einem USB-Stick an jedem betroffenen Rechner lokal, da das Netzwerk nicht mehr funktioniert!

False positive detection of W32/Wecorl.a in 5958 DAT:
https://kc.mcafee.com/corporate/index?page=content&id=KB68780
http://vil.nai.com/vil/5958_false.htm
Recovery SuperDAT: http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe
McAfee DAT 5958 Update Issues: http://isc.sans.org/diary.html?storyid=8656
W32/Wecorl.a 0-day? http://community.mcafee.com/thread/24056

Na dann, Viel Spass beim selber Testen!
CU

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

 
%d Bloggern gefällt das: