• Drucken
• Senden
• Feedback

22.04.2010

Das "5958 DAT Update Issue" dürfte in die Annalen des IT-Sicherheitsunternehmens McAfee eingehen, vielleicht wird man in einigen Jahren sogar darüber lachen können. Im Augenblick ist das definitiv nicht so: Für rund vier Stunden lieferte McAfee am Mittwoch im automatischen Update-Verfahren eine Aktualisierung seines Business-PC-Sicherheitspakets aus, die aktuelle Versionen von Windows XP wie ein Virus behandelte und abschoss.

Ein "false positive" nennt man so etwas, wenn ein Virenscanner einen Teil eines legitimen Programms mit einem Virus verwechselt. Problematisch wird das dann, wenn die Scanner-Software etwas gegen diesen vermeintlichen Schädling unternimmt - und der in Wahrheit ein Bestandteil des Betriebssystems ist.

Im aktuellen Fall war dies das Programm svchost.exe, eine essentielle Windows-Systemdatei, die gebraucht wird, um auf Programmbibliotheken zuzugreifen. Entsprechend heftig fielen die Reaktionen der betroffenen Rechner aus: Das auf den neuesten Stand gebrachte Sicherheitspaket schützte die Rechner quasi vor der korrekten Ausführung von Windows XP - was sich in Abstürzen und schier endlosen Neustart-Sequenzen äußerte.

Deutsche Unternehmen waren weniger stark betroffen, weil das Update aus hiesiger Perspektive in der Nacht erfolgte, doch in Amerika und im pazifischen Raum legte die Virenschutz-Aktualisierung Zehntausende Rechner lahm. McAfee ist um Schadensbegrenzung bemüht, hat das Update zurückgezogen und sich bei seiner Kundschaft entschuldigt. Betroffen gewesen sei allenfalls ein halbes Prozent aller seiner Business-Nutzer, die das Update in den vier Stunden, in denen es verteilt wurde, durchgeführt hätten, hieß es zunächst.

Barry McPherson, bei McAfee verantwortlich für den Kunden-Support und damit auch für das XP-feindliche Update, äußerte Verständnis dafür, dass der Vorfall für die, die davon erwischt wurden, eine "große Sache" sei. Insgesamt aber sei weder bleibender Schaden entstanden noch seien PCs weiter durch das "false positive" gefährdet. Einige Stunden später war auch McPherson aufgegangen, dass McAfee einen kapitalen Bock geschossen hatte: In einem zweiten Blog-Post ließ er eine Entschuldigung folgen - und veröffentlichte eine Reihe von Hilfeseiten zu dem Thema, die bis zum Donnerstag Vormittag permanent überlastet waren.

Die Betroffenen finden das alles nicht witzig. Anekdoten und Meldungen über PC-Crashes häufen sich in den letzten Stunden: In Australien mussten Supermärkte schließen, nachdem PC-Kassen den Geist aufgaben, eine Großkette spricht von zehn Prozent aller Kassen. Beim Chip-Hersteller Intel soll es zu weitreichenden, offiziell bisher nicht bestätigten Ausfällen gekommen sein, Zeugen kolportieren, in ganzen Abteilungen sei der Betrieb zum Erliegen gekommen.

Betroffen waren aber nicht nur geschäftliche Abläufe: Forschungseinrichtungen wie die amerikanische National Science Foundation erlebten den Totalausfall ihrer Rechner, mindestens ein Polizei-Netzwerk in den USA gab den Geist auf. Die potentiell folgenreichsten Zwischenfälle gab es in einigen Krankenhäusern, wo Operationen verschoben und Patienten ohne akute Traumata abgewiesen wurden. Am Ausbildungskrankenhaus der Universität Michigan sollen 8.000 von rund 25.000 Rechnern den Dienst quittiert haben, berichtet CNet.

Kniffelig, aber kein bleibender Schaden

Der verursachte Schaden ist reparabel, dürfte die EDV-Abteilungen der betroffenen Unternehmen aber vorerst gut beschäftigen. McAfee schlägt vor, mit einem nicht befallenen Rechner die aktuellere, noch am Mittwoch eilig nachgeschobene Virensignatur DAT 5959 herunterzuladen und auf einem USB-Stick zu speichern. Sodann könne man einen betroffenen Rechner im sogenannten Safe Mode von Windows mit Netzwerk starten und die neue Signatur per Mausklick auf die Datei 5959xdat.exe installieren. Klingt einfach, ist aber nichts für Laien, denn in den meisten Fällen, berichtet der IT-Newsdienst Heise, müsse man dann noch die beschädigte Datei SVCHOSTS.EXE restaurieren. McAfee schlägt vor, wenn vorhanden, eine unbeschädigte SVCHOSTS.EXE von einem Rechner mit identischer Betriebssystemversion zu kopieren und als Ersatz für die beschädigte zu installieren - ein Verfahren nicht ohne Risiken.

Inzwischen bietet McAfee zudem ein "Removal Tool", eine Entfernungssoftware für die irrlichternde DAT 5958-Signatur an.

McAfee hat keine Erklärung dazu gegeben, wie es zu dem Irrtum kommen konnte. Das schadhafte Update identifizierte die Windows-XP-Systemdatei (Version SP3) als Virus W32/Wecorl.a. Andere, neuere Windows-Systeme waren nicht betroffen, was man bei Microsoft mit Freude vermerkt haben mag: Mit Windows 7 wäre das nicht passiert.

Denn Windows XP ist aus Sicht der Softwarehersteller ein Dinosaurier. Das am 25. Oktober 2001 veröffentlichte System erlebte sein letztes Update im Mai 2008 und wird inzwischen von Microsoft nicht mehr verkauft. Kein Wunder: Das bisher erfolgreichste Microsoft-Betriebssystem hinkt der technischen Entwicklung um Jahre hinterher, wurde von Microsoft erst erfolglos durch Vista, zuletzt erfolgreicher durch Windows 7 ersetzt. Den meisten PC-Anwendern aber reicht der Oldie nach wie vor: Windows XP ist noch immer das meistverbreitete Windows-System, wobei die Marktanteile aktuell stark in Bewegung sind. Windows 7 gilt schon jetzt, sechs Monate nach seiner Erstveröffentlichung, als das schnellstverkaufte Windows-Betriebsystem, hat Vistas Marktanteil binnen weniger Wochen überholt und schickt sich an, XP zu beerben.

Schäden durch Virenscanner kommen vor, sind aber selten. Eine Nutzung des Internet ohne aktuellen Virenschutz ist nicht ratsam. Das schadhafte McAfee-Update ist nicht mehr im Umlauf, bisher nicht betroffene Rechner können gefahrlos auf den neusten Stand gebracht werden.