Abo
  • Services:
Anzeige

Windows-XP-Bluescreen nach Patch: Rootkit ist schuld

Kernel-Rootkit sorgt für nicht mehr startfähige Rechner nach Patcheinspielung

Wer seit dem vergangenen Microsoft-Patchday seinen Windows-XP-Rechner nicht mehr starten kann, der muss wohl davon ausgehen, dass der eigene Rechner schon eine Weile infiziert war. Ein Fehler des Programmierers des Rootkits Tdss sorgt für diese Abstürze, die erst mit dem Patch auftreten können.

An den jüngst aufgetretenen Problemen mit Windows-XP-Rechnern ist offenbar ein Rootkit schuld. Kurz nach der Veröffentlichung des Patchs des Security Bulletins MS10-015 kam es zu einer Reihe von Ausfällen von Rechnern mit installiertem Windows XP. In einer ersten Stellungnahme sah Microsoft noch den Patch selbst als möglichen Verursacher. Daraufhin hat Microsoft den Sicherheitspatch zunächst zurückgezogen.

Anzeige

MS10-015 ist offenbar allerdings nur der Auslöser des bereits vorhandenen Problems, wie Symantec meldet. Der Fehler kommt zustande, weil der Programmierer von Backdoor.Tidserv, auch bekannt als Tdss-Rootkit Version 3, einen Fehler gemacht hat, der beim Einspielen des Sicherheitspatches dann verhängnisvolle Auswirkungen hat.

Der Autor der Backdoor nutzt häufig eine modifizierte atapi.sys-Datei, die auf hart codierte, relative virtuelle Adressen (RVAs) setzt, die sich ändern könnten. Nach dem Update werden damit jedoch nicht mehr gültige Adressen angesprochen, denn der Patch MS10-015 hat genau hier Änderungen vorgenommen. Da atapi.sys eine systemkritische Datei darstellt, fährt der Rechner anschließend nicht einmal im abgesicherten Modus hoch.

Die Schadsoftware versteckt sich so gut im System des Opfers, dass Anti-Viren-Software wenig Chancen hat, diese zu entdecken oder zu entfernen. Symantec selbst empfiehlt den manuellen Austausch der Datei und nicht die Desinfizierung durch den Virenscanner. Neben dem Austausch der Systemdatei atapi.sys sollte auch eine Neuinstallation des Systems in Betracht gezogen werden, da auch nach einer Reparatur nicht ausgeschlossen werden kann, dass das System weiterhin infiziert ist. Neben der Datei atapis.sys nutzt das Rootkit als Alternative auch iastor.sys, idechndr.sys, ndis.sys, nvata.sys sowie vmscsi.sys und infiziert sie.

Auch Microsoft geht mittlerweile davon aus, dass die Abstürze beim Bootvorgang auf Schadsoftware zurückzuführen sind, will aber vorerst andere Gründe nicht vollständig ausschließen.


eye home zur Startseite
IhrName9999 19. Feb 2010

Ähm ... doch, das tut es - und zwar in den Allermeissten Fällen. Allerdings kann der...

Zi 17. Feb 2010

Grundsätzlich reicht nichts um danach das gehirn aus zu schalten wenn man im internet...

Anonymer Nutzer 16. Feb 2010

Von sog. "trojanischen Pferden" spricht man bei Programmen, die etwas vorgeben zu tun...

titrat 16. Feb 2010

... ... Alternate Data Streams kann jeder Prozess lesen, der das will. Es gab nur vor...

titrat 16. Feb 2010

golem schreibt, als wäre die Ursache klar und stände fest. Das ist mitnichten der Fall...



Anzeige

Stellenmarkt
  1. Max Weishaupt GmbH, Schwendi
  2. Dataport, Hamburg
  3. neam IT-Services GmbH, Paderborn
  4. STAUFEN.AG, Köngen


Anzeige
Spiele-Angebote
  1. (-72%) 5,55€
  2. (-13%) 34,99€
  3. 1,29€

Folgen Sie uns
       


  1. Nightdive Studios

    Arbeit an System Shock Remake bis auf Weiteres eingestellt

  2. FTTH

    Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude

  3. Programmiersprache

    Go 1.10 cacht besser und baut Brücken zu C

  4. Letzte Meile

    Telekom macht Versuche mit Fixed Wireless 5G

  5. PTI und IBRS

    FreeBSD erhält Patches gegen Meltdown und Spectre

  6. Deutsche Telekom

    Huawei und Intel zeigen Interoperabilität von 5G

  7. Lebensmittel-Lieferservices

    Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"

  8. Fertigungstechnik

    Intel steckt Kobalt und 4,5 Milliarden US-Dollar in Chips

  9. Homepod im Test

    Smarter Lautsprecher für den Apple-affinen Popfan

  10. Microsoft

    Xbox One bekommt native Unterstützung für 1440p-Auflösung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fe im Test: Fuchs im Farbenrausch
Fe im Test
Fuchs im Farbenrausch
  1. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs
  2. Monster Hunter World im Test Das Viecher-Fleisch ist jetzt gut durch
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Ein Kundenbindungs-Gerät

    Lumumba | 18:20

  2. Re: ... und dabei meint, dessen Marke einfach so...

    Tuxgamer12 | 18:17

  3. Re: Warum sind smart Lautsprecher so beliebt?

    Squirrelchen | 18:16

  4. Re: Neue Programmiersprachen?

    _4ubi_ | 18:15

  5. Re: "crasht besser"

    Tigtor | 18:10


  1. 18:09

  2. 18:04

  3. 16:27

  4. 16:00

  5. 15:43

  6. 15:20

  7. 15:08

  8. 12:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel