Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Windows-XP-Bluescreen nach Patch: Rootkit ist schuld

Kernel-Rootkit sorgt für nicht mehr startfähige Rechner nach Patcheinspielung. Wer seit dem vergangenen Microsoft-Patchday seinen Windows-XP-Rechner nicht mehr starten kann, der muss wohl davon ausgehen, dass der eigene Rechner schon eine Weile infiziert war. Ein Fehler des Programmierers des Rootkits Tdss sorgt für diese Abstürze, die erst mit dem Patch auftreten können.
/ Andreas Sebayang
130 Kommentare News folgen (öffnet im neuen Fenster)

An den jüngst aufgetretenen Problemen mit Windows-XP-Rechnern ist offenbar ein Rootkit schuld. Kurz nach der Veröffentlichung des Patchs des Security Bulletins MS10-015(öffnet im neuen Fenster) kam es zu einer Reihe von Ausfällen von Rechnern mit installiertem Windows XP. In einer ersten Stellungnahme sah Microsoft noch den Patch selbst als möglichen Verursacher . Daraufhin hat Microsoft den Sicherheitspatch zunächst zurückgezogen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Junior Network Engineer (m/w/d) TERRAS Holding GmbH, Montabaur (öffnet im neuen Fenster)
Senior Data Engineer / Senior Data Analytics Developer (m/w/d) SDX AG, Frankfurt (öffnet im neuen Fenster)
Elektroingenieur (m/w/d) Kommunikationstechnik BAADER, Lübeck (öffnet im neuen Fenster)
Referent*in Organisationsentwicklung und Digitalisierung (d/m/w) Nahverkehrsverbund Schleswig-Holstein GmbH (NAH.SH GmbH), Kiel (öffnet im neuen Fenster)
SAP Inhouse Berater PLM / Variantenkonfiguration (m/w/d) Max Weishaupt SE, Schwendi (öffnet im neuen Fenster)
Consultant (m/w/d) im Bereich Informationssicherheit / Cyber-Security BBH Consulting AG, München (öffnet im neuen Fenster)
Technischer Experte (m/w/d) Batteriesysteme Bahn - Internationaler Service & Support HOPPECKE Systemtechnik GmbH, Zwickau (öffnet im neuen Fenster)
Servicemitarbeiter (m/w/d) im 1st & 2nd Level Help-Desk Acrelec GmbH, Unterschleißheim bei München (öffnet im neuen Fenster)

MS10-015 ist offenbar allerdings nur der Auslöser des bereits vorhandenen Problems, wie Symantec(öffnet im neuen Fenster) meldet. Der Fehler kommt zustande, weil der Programmierer von Backdoor.Tidserv, auch bekannt als Tdss-Rootkit Version 3(öffnet im neuen Fenster) , einen Fehler gemacht hat, der beim Einspielen des Sicherheitspatches dann verhängnisvolle Auswirkungen hat.

Der Autor der Backdoor nutzt häufig eine modifizierte atapi.sys-Datei, die auf hart codierte, relative virtuelle Adressen (RVAs) setzt, die sich ändern könnten. Nach dem Update werden damit jedoch nicht mehr gültige Adressen angesprochen, denn der Patch MS10-015 hat genau hier Änderungen vorgenommen. Da atapi.sys eine systemkritische Datei darstellt, fährt der Rechner anschließend nicht einmal im abgesicherten Modus hoch.

Die Schadsoftware versteckt sich so gut im System des Opfers, dass Anti-Viren-Software wenig Chancen hat, diese zu entdecken oder zu entfernen. Symantec selbst empfiehlt den manuellen Austausch der Datei und nicht die Desinfizierung durch den Virenscanner. Neben dem Austausch der Systemdatei atapi.sys sollte auch eine Neuinstallation des Systems in Betracht gezogen werden, da auch nach einer Reparatur nicht ausgeschlossen werden kann, dass das System weiterhin infiziert ist. Neben der Datei atapis.sys nutzt das Rootkit als Alternative auch iastor.sys, idechndr.sys, ndis.sys, nvata.sys sowie vmscsi.sys und infiziert sie.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Auch Microsoft geht mittlerweile davon aus, dass die Abstürze beim Bootvorgang auf Schadsoftware zurückzuführen sind(öffnet im neuen Fenster) , will aber vorerst andere Gründe nicht vollständig ausschließen.

Zur Startseite 130 Kommentare

Relevante Themen

SoftwareBetriebssystemeSecuritySicherheitslückeUpdates & PatchesCybercrimeDatensicherheitPatchdayAnti-Virus