Michael Landenberger
2011-04-05 12:59:54 UTC
Hallo,
letztens fielen mir im Ereignis-Log eines Windows XP-Rechners unter "System"
Einträge von "Microsoft Antimalware" auf. Die Einträge waren als
"Information" gekennzeichnet (also nicht als Warnung). Die Ereigniskennung
lautete 1015. Unter dieser Kennung meldet die verhaltensbasierte Erkennung
der Microsoft Security Essentials verschiedene verdächtige Vorgänge (siehe
<http://go.microsoft.com/fwlink/?linkid=158117&threatid=4294967289>), u. a.
ausgelöst von Prozessen, die den Kernel manipulieren. Der Bedrohungsgrad
wurde in meinem Fall als "niedrig" eingestuft. Pro Windows-Sitzung gibt es
genau einen Eintrag im Ereignis-Log, wobei jedes Mal ein anderer Dateiname
gemeldet wird. Der Dateiname hatte immer die Form "sp??.sys", wobei die
beiden Fragezeichen für 2 ständig wechselnde Buchstaben stehen. Das "sp" und
die Dateiendung "sys" blieben dagegen immer gleich. Diese Dateien waren
durch normales Durchsuchen der Verzeichnisstruktur unauffindbar, das Tool
GMER (<http://www.gmer.net/>) fand sie jedoch und stufte sie als Rootkit ein
(SSDT-Hook). Recherche im Internet ergab, dass die Dateien jedoch harmlos
waren, sie gehören zu den Daemon Tools (einem Treiber für virtuelle
Laufwerke). Nichtsdestotrotz nutzen die Daemon Tools offenbar
Rootkit-Techniken. Auch dies wird von übereinstimmenden Berichten im Netz
bestätigt. Zur Kontrolle habe ich die Daemon Tools testweise deinstalliert,
danach tauchten keine Meldungen der MSSE im Ereignis-Log mehr auf. Das
entlarvte die Meldungen als Fehlalarm.
Die Daemon Tools befinden sich schon lange auf meinem Rechner, die
MSSE-Meldungen begannen aber erst am 28.3.2011. Daraus schließe ich, dass
Microsoft im Rahmen eines Updates zusätzliche Erkennungsmechanismen
eingebaut hat, mit denen verdächtige Verhaltensmuster auch dann erkannt
werden, wenn sie von Rootkits ausgehen. Für einen Gratis-Virenscanner ist so
etwas nicht gerade selbstverständlich.
Außer den Daemon Tools nutzt auch die Kopiersoftware Alcohol 120% ähnliche
Rootkit-Techniken. Wer also die Daemon Tools oder Alcohol 120% auf dem
Rechner hat, wird möglicherweise von den MSSE oder einem anderen
Virenscanner vor verdächtigen Prozessen mit Namen "spoy.sys", "spgm.sys",
"spqn.sys", "spga.sys" o. ä. gewarnt. Wenn die Prozesse nach Deinstallation
der besagten Programme nicht mehr auftauchen, dann handelt es sich um
Prozesse, die zu diesen Programmen gehören und die folglich als harmlos
anzusehen sind. Sollten die Prozesse allerdings nicht verschwinden oder auf
Rechnern auftauchen, auf denen weder die Daemon Tools noch Alcohol
installiert sind, ist höchste Wachsamkeit und ggf. die bei Malware-Befall
empfohlene Vorgehensweise (= Plattmachen, Neuinstallation) angesagt.
Gruß
Michael
letztens fielen mir im Ereignis-Log eines Windows XP-Rechners unter "System"
Einträge von "Microsoft Antimalware" auf. Die Einträge waren als
"Information" gekennzeichnet (also nicht als Warnung). Die Ereigniskennung
lautete 1015. Unter dieser Kennung meldet die verhaltensbasierte Erkennung
der Microsoft Security Essentials verschiedene verdächtige Vorgänge (siehe
<http://go.microsoft.com/fwlink/?linkid=158117&threatid=4294967289>), u. a.
ausgelöst von Prozessen, die den Kernel manipulieren. Der Bedrohungsgrad
wurde in meinem Fall als "niedrig" eingestuft. Pro Windows-Sitzung gibt es
genau einen Eintrag im Ereignis-Log, wobei jedes Mal ein anderer Dateiname
gemeldet wird. Der Dateiname hatte immer die Form "sp??.sys", wobei die
beiden Fragezeichen für 2 ständig wechselnde Buchstaben stehen. Das "sp" und
die Dateiendung "sys" blieben dagegen immer gleich. Diese Dateien waren
durch normales Durchsuchen der Verzeichnisstruktur unauffindbar, das Tool
GMER (<http://www.gmer.net/>) fand sie jedoch und stufte sie als Rootkit ein
(SSDT-Hook). Recherche im Internet ergab, dass die Dateien jedoch harmlos
waren, sie gehören zu den Daemon Tools (einem Treiber für virtuelle
Laufwerke). Nichtsdestotrotz nutzen die Daemon Tools offenbar
Rootkit-Techniken. Auch dies wird von übereinstimmenden Berichten im Netz
bestätigt. Zur Kontrolle habe ich die Daemon Tools testweise deinstalliert,
danach tauchten keine Meldungen der MSSE im Ereignis-Log mehr auf. Das
entlarvte die Meldungen als Fehlalarm.
Die Daemon Tools befinden sich schon lange auf meinem Rechner, die
MSSE-Meldungen begannen aber erst am 28.3.2011. Daraus schließe ich, dass
Microsoft im Rahmen eines Updates zusätzliche Erkennungsmechanismen
eingebaut hat, mit denen verdächtige Verhaltensmuster auch dann erkannt
werden, wenn sie von Rootkits ausgehen. Für einen Gratis-Virenscanner ist so
etwas nicht gerade selbstverständlich.
Außer den Daemon Tools nutzt auch die Kopiersoftware Alcohol 120% ähnliche
Rootkit-Techniken. Wer also die Daemon Tools oder Alcohol 120% auf dem
Rechner hat, wird möglicherweise von den MSSE oder einem anderen
Virenscanner vor verdächtigen Prozessen mit Namen "spoy.sys", "spgm.sys",
"spqn.sys", "spga.sys" o. ä. gewarnt. Wenn die Prozesse nach Deinstallation
der besagten Programme nicht mehr auftauchen, dann handelt es sich um
Prozesse, die zu diesen Programmen gehören und die folglich als harmlos
anzusehen sind. Sollten die Prozesse allerdings nicht verschwinden oder auf
Rechnern auftauchen, auf denen weder die Daemon Tools noch Alcohol
installiert sind, ist höchste Wachsamkeit und ggf. die bei Malware-Befall
empfohlene Vorgehensweise (= Plattmachen, Neuinstallation) angesagt.
Gruß
Michael