Abo
  • Services:

Windows-XP-Bluescreen nach Patch: Rootkit ist schuld

Kernel-Rootkit sorgt für nicht mehr startfähige Rechner nach Patcheinspielung

Wer seit dem vergangenen Microsoft-Patchday seinen Windows-XP-Rechner nicht mehr starten kann, der muss wohl davon ausgehen, dass der eigene Rechner schon eine Weile infiziert war. Ein Fehler des Programmierers des Rootkits Tdss sorgt für diese Abstürze, die erst mit dem Patch auftreten können.

Artikel veröffentlicht am ,

An den jüngst aufgetretenen Problemen mit Windows-XP-Rechnern ist offenbar ein Rootkit schuld. Kurz nach der Veröffentlichung des Patchs des Security Bulletins MS10-015 kam es zu einer Reihe von Ausfällen von Rechnern mit installiertem Windows XP. In einer ersten Stellungnahme sah Microsoft noch den Patch selbst als möglichen Verursacher. Daraufhin hat Microsoft den Sicherheitspatch zunächst zurückgezogen.

Stellenmarkt
  1. Hohenstein, Bönnigheim
  2. ME Mobil - Elektronik GmbH, Langenbrettach

MS10-015 ist offenbar allerdings nur der Auslöser des bereits vorhandenen Problems, wie Symantec meldet. Der Fehler kommt zustande, weil der Programmierer von Backdoor.Tidserv, auch bekannt als Tdss-Rootkit Version 3, einen Fehler gemacht hat, der beim Einspielen des Sicherheitspatches dann verhängnisvolle Auswirkungen hat.

Der Autor der Backdoor nutzt häufig eine modifizierte atapi.sys-Datei, die auf hart codierte, relative virtuelle Adressen (RVAs) setzt, die sich ändern könnten. Nach dem Update werden damit jedoch nicht mehr gültige Adressen angesprochen, denn der Patch MS10-015 hat genau hier Änderungen vorgenommen. Da atapi.sys eine systemkritische Datei darstellt, fährt der Rechner anschließend nicht einmal im abgesicherten Modus hoch.

Die Schadsoftware versteckt sich so gut im System des Opfers, dass Anti-Viren-Software wenig Chancen hat, diese zu entdecken oder zu entfernen. Symantec selbst empfiehlt den manuellen Austausch der Datei und nicht die Desinfizierung durch den Virenscanner. Neben dem Austausch der Systemdatei atapi.sys sollte auch eine Neuinstallation des Systems in Betracht gezogen werden, da auch nach einer Reparatur nicht ausgeschlossen werden kann, dass das System weiterhin infiziert ist. Neben der Datei atapis.sys nutzt das Rootkit als Alternative auch iastor.sys, idechndr.sys, ndis.sys, nvata.sys sowie vmscsi.sys und infiziert sie.

Auch Microsoft geht mittlerweile davon aus, dass die Abstürze beim Bootvorgang auf Schadsoftware zurückzuführen sind, will aber vorerst andere Gründe nicht vollständig ausschließen.



Anzeige
Blu-ray-Angebote
  1. 9,99€

IhrName9999 19. Feb 2010

Ähm ... doch, das tut es - und zwar in den Allermeissten Fällen. Allerdings kann der...

Zi 17. Feb 2010

Grundsätzlich reicht nichts um danach das gehirn aus zu schalten wenn man im internet...

Anonymer Nutzer 16. Feb 2010

Von sog. "trojanischen Pferden" spricht man bei Programmen, die etwas vorgeben zu tun...

titrat 16. Feb 2010

... ... Alternate Data Streams kann jeder Prozess lesen, der das will. Es gab nur vor...

titrat 16. Feb 2010

golem schreibt, als wäre die Ursache klar und stände fest. Das ist mitnichten der Fall...


Folgen Sie uns
       


Bionic Wheel Bot von Festo angesehen und Interview

Gehen oder rollen? Der Bionic Wheel Bot von Festo ist nach dem Vorbild einer Spinne konstruiert, die normalerweise läuft. Hat sie es eilig, etwa um sich vor Feinden in Sicherheit zu bringen, formt sie aus ihren Beinen Räder und rollt davon.

Bionic Wheel Bot von Festo angesehen und Interview Video aufrufen
Highend-PC-Streaming: Man kann sogar die Grafikkarte deaktivieren
Highend-PC-Streaming
Man kann sogar die Grafikkarte deaktivieren

Geforce GTX 1080, 12 GByte RAM und ein Xeon-Prozessor: Ab 30 Euro im Monat bietet ein Startup einen vollwertigen Windows-10-Rechner im Stream. Der Zugriff auf Daten, Anwendungen und Games soll auch unterwegs mit dem Smartphone funktionieren.
Von Peter Steinlechner

  1. Golem.de-Livestream Halbgott oder Despot?
  2. Rundfunk Medienanstalten wollen Bild Livestreaming-Formate untersagen
  3. Illegale Kopien Deutsche Nutzer pfeifen weiter auf das Urheberrecht

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


    Oneplus 6 im Test: Neues Design, gleich starkes Preis-Leistungs-Verhältnis
    Oneplus 6 im Test
    Neues Design, gleich starkes Preis-Leistungs-Verhältnis

    Das Oneplus 6 hat einen schnellen Prozessor, eine Dualkamera und ein großes Display - mit einer Einbuchtung am oberen Rand. Der Preis liegt wieder unter dem der meisten Konkurrenzgeräte. Das macht das Smartphone trotz fehlender Innovationen zu einem der aktuell interessantesten am Markt.
    Ein Test von Tobias Költzsch

    1. Android-Smartphone Neues Oneplus 6 kostet ab 520 Euro
    2. Oneplus 6 Oneplus verkauft sein neues Smartphone auch direkt in Berlin

      •  /