Der Feind im Inneren
Halle/MZ. - HALLE / MZ- Alex Shirley zumindest ist das alles schon einmal passiert. "Genau vor zehn Jahren hat McAfee meinen Rechner abgeschossen", berichtet der Computerspezialist aus London im Kurznachrichtenportal Twitter. Ein Sicherheitsupdate, geschickt vom Virenspezialisten McAfee und automatisch installiert, habe damals eine Systemdatei für ein Schadprogramm gehalten und alles lahmgelegt. "Seitdem benutze ich keine Programme mehr von denen."
Im Unterschied zu Millionen Menschen weltweit, denen die Softwareschmiede aus dem kalifornischen Santa Clara von Mittwochnachmittag an unruhige Stunden beschert hat. Ein Programm-Update des Antivirenherstellers für das Betriebssystem Windows XP legte rund um den Erdball mehrere Millionen Computer lahm, brachte Firmennetzwerke zum Zusammenklappen und katapultierte den Begriff "McAfee" bei Twitter und dem Suchmaschinenriesen Google in die Suchwort-Hitparade.
Dabei hatte die bereits 1987 gegründete Sicherheitsfirma eigentlich nur die sogenannte Signatur-Datenbank für Viren und Trojaner auf den Rechnern seiner Kunden aktualisieren wollen. Nach den Einträgen in dieser Liste identifizieren Sicherheitsprogramme wie McAfees VirusScan, das vor allem in Deutschland beliebte kostenlose Avira AntiVir oder AntiVirus 2010 von Norton unerwünschte Programme, die sich per Email-Anhang oder über Downloads von Internetseiten in den Computer schleichen wollen. Erkennt der PC eine solche Signatur, verschiebt er die entsprechende Datei in Quarantäne oder löscht sie sofort. Spammer, Computergangster und Hacker müssen also beständig neue Viren programmieren, um an Firewalls und Virenwächtern vorbeizukommen. Die Sicherheitsfirmen hingegen sind gezwungen, die neuauftauchenden Schadprogramme möglichst schnell zu identifizieren und in ihre Listen einzuarbeiten.
Das sollte auch am Mittwochnachmittag geschehen, wie Barry McPherson, der oberste Zuständige für Kundenzufriedenheit bei McAfee, in einem Firmenblog zugab. "Unsere Experten entdeckten eine neue Bedrohung, die sich anscheinend tief ins Betriebsprogramm vergräbt", beschreibt er. Daraufhin habe ein Spezialistenteam Werkzeuge programmiert, die die Schadsoftware erkennen und bekämpfen könne, die hätten die interne Qualitätskontrolle ohne Probleme passiert und weniger als 24 Stunden nach dem ersten Auftauchen der "neuen Bedrohung" sollten die Rechner von McAfee-Kunden mit Programmen wie VirusScan Plus oder Internet Security Suite weltweit dann automatisch immunisiert werden.
Das aber ging gründlich schief, denn diesmal saß der Feind schon im Inneren. Statt einen echten Virus zu erkennen, veranlasste die Datei "5958 Virus Definition" die Sicherheitsprogramme dazu, den Kampf gegen die wichtige Windows-Systemdatei namens Svchost aufzunehmen. Der Antivirenschild hielt das in der Vergangenheit immer mal wieder als Tarnung für gefährliche Viren benutzte Programm für den Schädling W32 / Wecorl.a, der vor zwei Jahren bereits die Runde gemacht hatte. Wecorl verbreitet sich von infizierten Computern automatisch weiter. Ohne zusätzlichen Schutz gestattet der Trojaner es seinen Herstellern, befallene Rechner fernzusteuern.
Für Antivirensoftware von McAfee waren aber nun alle Computer mit Windows XP und Service Pack 3 mit Wecorl infiziert. Mit großem Nachdruck gingen die elektronischen Wächter gegen die vermeintlich schuldige Datei vor, ohne die aber das gesamte Betriebssystem nicht mehr läuft. In Australien stürzten die Kassen einer ganzen Supermarktkette ab, in Sachsen konnten einzelne Mitarbeiter des Landtags zeitweise nicht an ihren Rechnern arbeiten und auch bei der Mitteldeutschen Zeitung fuhren Computer plötzlich herunter und versuchten anschließend vergeblich, neu zu starten.
"Wir glauben, dass das Problem bei weniger als einem halben Prozent der Nutzer auftrat", rechnete McAfee-Kundenbetreuer McPherson vor, "aber wir verstehen, dass es für jeden einzelnen Betroffenen großen Ärger bedeutet." Hilflos mussten vor allem private Nutzer zusehen, wie ihr Rechner mal um mal beim Versuch scheiterte, sich anzuschalten. Auch die Suche nach Rettung im Internet, wo McAfee schnell Handlungsanweisungen hinterlegt hatte, fiel ohne Zweitgerät schwer: Ohne Rechner kein Netz, ohne Netz keine Hilfe.
Mehr im Netz unter:
http: / /siblog.mcafee.com
