Abo
  • Services:
Anzeige

Windows-XP-Bluescreen nach Patch: Rootkit ist schuld

Kernel-Rootkit sorgt für nicht mehr startfähige Rechner nach Patcheinspielung

Wer seit dem vergangenen Microsoft-Patchday seinen Windows-XP-Rechner nicht mehr starten kann, der muss wohl davon ausgehen, dass der eigene Rechner schon eine Weile infiziert war. Ein Fehler des Programmierers des Rootkits Tdss sorgt für diese Abstürze, die erst mit dem Patch auftreten können.

An den jüngst aufgetretenen Problemen mit Windows-XP-Rechnern ist offenbar ein Rootkit schuld. Kurz nach der Veröffentlichung des Patchs des Security Bulletins MS10-015 kam es zu einer Reihe von Ausfällen von Rechnern mit installiertem Windows XP. In einer ersten Stellungnahme sah Microsoft noch den Patch selbst als möglichen Verursacher. Daraufhin hat Microsoft den Sicherheitspatch zunächst zurückgezogen.

Anzeige

MS10-015 ist offenbar allerdings nur der Auslöser des bereits vorhandenen Problems, wie Symantec meldet. Der Fehler kommt zustande, weil der Programmierer von Backdoor.Tidserv, auch bekannt als Tdss-Rootkit Version 3, einen Fehler gemacht hat, der beim Einspielen des Sicherheitspatches dann verhängnisvolle Auswirkungen hat.

Der Autor der Backdoor nutzt häufig eine modifizierte atapi.sys-Datei, die auf hart codierte, relative virtuelle Adressen (RVAs) setzt, die sich ändern könnten. Nach dem Update werden damit jedoch nicht mehr gültige Adressen angesprochen, denn der Patch MS10-015 hat genau hier Änderungen vorgenommen. Da atapi.sys eine systemkritische Datei darstellt, fährt der Rechner anschließend nicht einmal im abgesicherten Modus hoch.

Die Schadsoftware versteckt sich so gut im System des Opfers, dass Anti-Viren-Software wenig Chancen hat, diese zu entdecken oder zu entfernen. Symantec selbst empfiehlt den manuellen Austausch der Datei und nicht die Desinfizierung durch den Virenscanner. Neben dem Austausch der Systemdatei atapi.sys sollte auch eine Neuinstallation des Systems in Betracht gezogen werden, da auch nach einer Reparatur nicht ausgeschlossen werden kann, dass das System weiterhin infiziert ist. Neben der Datei atapis.sys nutzt das Rootkit als Alternative auch iastor.sys, idechndr.sys, ndis.sys, nvata.sys sowie vmscsi.sys und infiziert sie.

Auch Microsoft geht mittlerweile davon aus, dass die Abstürze beim Bootvorgang auf Schadsoftware zurückzuführen sind, will aber vorerst andere Gründe nicht vollständig ausschließen.


eye home zur Startseite
IhrName9999 19. Feb 2010

Ähm ... doch, das tut es - und zwar in den Allermeissten Fällen. Allerdings kann der...

Zi 17. Feb 2010

Grundsätzlich reicht nichts um danach das gehirn aus zu schalten wenn man im internet...

Anonymer Nutzer 16. Feb 2010

Von sog. "trojanischen Pferden" spricht man bei Programmen, die etwas vorgeben zu tun...

titrat 16. Feb 2010

... ... Alternate Data Streams kann jeder Prozess lesen, der das will. Es gab nur vor...

titrat 16. Feb 2010

golem schreibt, als wäre die Ursache klar und stände fest. Das ist mitnichten der Fall...



Anzeige

Stellenmarkt
  1. Chrono24 GmbH, Karlsruhe
  2. operational services GmbH & Co. KG, München/Ottobrunn
  3. Robert Bosch GmbH, Stuttgart-Vaihingen
  4. BWI GmbH, Strausberg


Anzeige
Spiele-Angebote
  1. 19,99€ (Vorbesteller-Preisgarantie)
  2. (-10%) 53,99€
  3. 25,99€

Folgen Sie uns
       


  1. 5G

    Deutsche Telekom bestellt Single RAN bei Ericsson

  2. Indie-Rundschau

    Die besten Indiespiele des Jahres

  3. Sattelschlepper

    Thor ET-One soll Teslas Elektro-Lkw Konkurrenz machen

  4. Finisar

    Apple investiert in Truedepth-Kamerahersteller

  5. Einkaufen und Laden

    Elektroauto-Ladesäulen mit 50 kW bei Kaufland

  6. FTTH

    Deutsche Glasfaser kommt im ländlichen Bayern weiter

  7. Druck der Filmwirtschaft

    EU-Parlament verteidigt Geoblocking bei Fernsehsendern

  8. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  9. PC

    Geld für Intel Inside wird stark gekürzt

  10. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Bundesregierung
Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
  1. Datentransfer in USA EU-Datenschützer fordern Nachbesserungen beim Privacy Shield
  2. Rechtsunsicherheit bei Cookies EU warnt vor Verzögerung von ePrivacy-Verordnung
  3. Datenschutz EU-Parlament stimmt ePrivacy-Verordnung zu

Amazon Video auf Apple TV im Hands on: Genau das fehlt auf dem Fire TV
Amazon Video auf Apple TV im Hands on
Genau das fehlt auf dem Fire TV
  1. Amazon Verkaufsbann für Apple TV bleibt bestehen
  2. Smartphone-Speicherkapazität Wie groß der Speicher eines iPhones sein sollte
  3. Mate 10 Pro im Test Starkes Smartphone mit noch unauffälliger KI

  1. Re: Wo man überall kostenlos laden darf...

    AllDayPiano | 09:26

  2. Re: Ich weiß ja, dass Ihr Glasfaserfans seit

    floewe | 09:26

  3. Re: Es gibt doch viel grundsätzlichere Probleme...

    rocketfoxx | 09:23

  4. Re: Wenn's Geld einbringt, dann eher gegen die...

    b.mey | 09:23

  5. Re: Glückwunsch den Anwohnern, die sich dafür...

    Dwalinn | 09:23


  1. 09:21

  2. 09:00

  3. 07:30

  4. 07:18

  5. 07:08

  6. 17:01

  7. 16:38

  8. 16:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel