Forums Neueste Beiträge
 

[FYI] False positive bei Rootkit-Erkennung durch Microsoft Security Essentials

05/04/2011 - 14:59 von Michael Landenberger | Report spam
Hallo,

letztens fielen mir im Ereignis-Log eines Windows XP-Rechners unter "System"
Eintràge von "Microsoft Antimalware" auf. Die Eintràge waren als
"Information" gekennzeichnet (also nicht als Warnung). Die Ereigniskennung
lautete 1015. Unter dieser Kennung meldet die verhaltensbasierte Erkennung
der Microsoft Security Essentials verschiedene verdàchtige Vorgànge (siehe
<http://go.microsoft.com/fwlink/?linkid8117&threatidB94967289>), u. a.
ausgelöst von Prozessen, die den Kernel manipulieren. Der Bedrohungsgrad
wurde in meinem Fall als "niedrig" eingestuft. Pro Windows-Sitzung gibt es
genau einen Eintrag im Ereignis-Log, wobei jedes Mal ein anderer Dateiname
gemeldet wird. Der Dateiname hatte immer die Form "sp??.sys", wobei die
beiden Fragezeichen für 2 stàndig wechselnde Buchstaben stehen. Das "sp" und
die Dateiendung "sys" blieben dagegen immer gleich. Diese Dateien waren
durch normales Durchsuchen der Verzeichnisstruktur unauffindbar, das Tool
GMER (<http://www.gmer.net/>) fand sie jedoch und stufte sie als Rootkit ein
(SSDT-Hook). Recherche im Internet ergab, dass die Dateien jedoch harmlos
waren, sie gehören zu den Daemon Tools (einem Treiber für virtuelle
Laufwerke). Nichtsdestotrotz nutzen die Daemon Tools offenbar
Rootkit-Techniken. Auch dies wird von übereinstimmenden Berichten im Netz
bestàtigt. Zur Kontrolle habe ich die Daemon Tools testweise deinstalliert,
danach tauchten keine Meldungen der MSSE im Ereignis-Log mehr auf. Das
entlarvte die Meldungen als Fehlalarm.

Die Daemon Tools befinden sich schon lange auf meinem Rechner, die
MSSE-Meldungen begannen aber erst am 28.3.2011. Daraus schließe ich, dass
Microsoft im Rahmen eines Updates zusàtzliche Erkennungsmechanismen
eingebaut hat, mit denen verdàchtige Verhaltensmuster auch dann erkannt
werden, wenn sie von Rootkits ausgehen. Für einen Gratis-Virenscanner ist so
etwas nicht gerade selbstverstàndlich.

Außer den Daemon Tools nutzt auch die Kopiersoftware Alcohol 120% àhnliche
Rootkit-Techniken. Wer also die Daemon Tools oder Alcohol 120% auf dem
Rechner hat, wird möglicherweise von den MSSE oder einem anderen
Virenscanner vor verdàchtigen Prozessen mit Namen "spoy.sys", "spgm.sys",
"spqn.sys", "spga.sys" o. à. gewarnt. Wenn die Prozesse nach Deinstallation
der besagten Programme nicht mehr auftauchen, dann handelt es sich um
Prozesse, die zu diesen Programmen gehören und die folglich als harmlos
anzusehen sind. Sollten die Prozesse allerdings nicht verschwinden oder auf
Rechnern auftauchen, auf denen weder die Daemon Tools noch Alcohol
installiert sind, ist höchste Wachsamkeit und ggf. die bei Malware-Befall
empfohlene Vorgehensweise (= Plattmachen, Neuinstallation) angesagt.

Gruß

Michael
 

Lesen sie die antworten

#1 Stefan Kanthak
05/04/2011 - 17:50 | Warnen spam
"Michael Landenberger" schrieb:

Hallo,

letztens fielen mir im Ereignis-Log eines Windows XP-Rechners unter "System"
Eintràge von "Microsoft Antimalware" auf. Die Eintràge waren als
"Information" gekennzeichnet (also nicht als Warnung). Die Ereigniskennung
lautete 1015.



[ von DAEMON Tools installiertes Rootkit ]

Das entlarvte die Meldungen als Fehlalarm.



Falsch!
Die informativen Meldungen sind vollkommen korrekt.

Die Daemon Tools befinden sich schon lange auf meinem Rechner, die



Die DAEMON Tools sind seit Jahren fuer ihre nicht allzu saubere
Programmierung und dadurch ausgeloeste Nebenwirkungen bekannt.
Zudem haben sie eine seit einem halben Jahr ungepatchte, als kritisch
bewertete Sicherheitsluecke: <http://secunia.com/advisories/41146/>

MSSE-Meldungen begannen aber erst am 28.3.2011. Daraus schließe ich, dass
Microsoft im Rahmen eines Updates zusàtzliche Erkennungsmechanismen
eingebaut hat, mit denen verdàchtige Verhaltensmuster auch dann erkannt
werden, wenn sie von Rootkits ausgehen.



UDIAGS!

Stefan
[
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

Ähnliche fragen