• IT-Karriere:
  • Services:

Windows-XP-Bluescreen nach Patch: Rootkit ist schuld

Kernel-Rootkit sorgt für nicht mehr startfähige Rechner nach Patcheinspielung

Wer seit dem vergangenen Microsoft-Patchday seinen Windows-XP-Rechner nicht mehr starten kann, der muss wohl davon ausgehen, dass der eigene Rechner schon eine Weile infiziert war. Ein Fehler des Programmierers des Rootkits Tdss sorgt für diese Abstürze, die erst mit dem Patch auftreten können.

Artikel veröffentlicht am ,

An den jüngst aufgetretenen Problemen mit Windows-XP-Rechnern ist offenbar ein Rootkit schuld. Kurz nach der Veröffentlichung des Patchs des Security Bulletins MS10-015 kam es zu einer Reihe von Ausfällen von Rechnern mit installiertem Windows XP. In einer ersten Stellungnahme sah Microsoft noch den Patch selbst als möglichen Verursacher. Daraufhin hat Microsoft den Sicherheitspatch zunächst zurückgezogen.

Stellenmarkt
  1. Stadt Köln, Köln
  2. Bruno Bader GmbH + Co.KG, Pforzheim, Östringen

MS10-015 ist offenbar allerdings nur der Auslöser des bereits vorhandenen Problems, wie Symantec meldet. Der Fehler kommt zustande, weil der Programmierer von Backdoor.Tidserv, auch bekannt als Tdss-Rootkit Version 3, einen Fehler gemacht hat, der beim Einspielen des Sicherheitspatches dann verhängnisvolle Auswirkungen hat.

Der Autor der Backdoor nutzt häufig eine modifizierte atapi.sys-Datei, die auf hart codierte, relative virtuelle Adressen (RVAs) setzt, die sich ändern könnten. Nach dem Update werden damit jedoch nicht mehr gültige Adressen angesprochen, denn der Patch MS10-015 hat genau hier Änderungen vorgenommen. Da atapi.sys eine systemkritische Datei darstellt, fährt der Rechner anschließend nicht einmal im abgesicherten Modus hoch.

Die Schadsoftware versteckt sich so gut im System des Opfers, dass Anti-Viren-Software wenig Chancen hat, diese zu entdecken oder zu entfernen. Symantec selbst empfiehlt den manuellen Austausch der Datei und nicht die Desinfizierung durch den Virenscanner. Neben dem Austausch der Systemdatei atapi.sys sollte auch eine Neuinstallation des Systems in Betracht gezogen werden, da auch nach einer Reparatur nicht ausgeschlossen werden kann, dass das System weiterhin infiziert ist. Neben der Datei atapis.sys nutzt das Rootkit als Alternative auch iastor.sys, idechndr.sys, ndis.sys, nvata.sys sowie vmscsi.sys und infiziert sie.

Auch Microsoft geht mittlerweile davon aus, dass die Abstürze beim Bootvorgang auf Schadsoftware zurückzuführen sind, will aber vorerst andere Gründe nicht vollständig ausschließen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Age of Empires III: Definitive Edition für 12,99€, F1 2020 für 13,99€, Mad Max für 4...
  2. 23,99€
  3. (u. a. Star Wars Battlefront 2 für 7,99€, A Way Out für 5,99€)

IhrName9999 19. Feb 2010

Ähm ... doch, das tut es - und zwar in den Allermeissten Fällen. Allerdings kann der...

Zi 17. Feb 2010

Grundsätzlich reicht nichts um danach das gehirn aus zu schalten wenn man im internet...

Anonymer Nutzer 16. Feb 2010

Von sog. "trojanischen Pferden" spricht man bei Programmen, die etwas vorgeben zu tun...

titrat 16. Feb 2010

... ... Alternate Data Streams kann jeder Prozess lesen, der das will. Es gab nur vor...

titrat 16. Feb 2010

golem schreibt, als wäre die Ursache klar und stände fest. Das ist mitnichten der Fall...


Folgen Sie uns
       


Peloton - Fazit

Im Video stellt Golem.de-Redakteur Peter Steinlechner das Bike+ von Peloton vor. Mit dem Spinning-Rad können Sportler fast schon ein eigenes Fitnessstudio in ihrer Wohnung einrichten.

Peloton - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /