Sicherheits-Patch für Windows XP
Update zu Windows-XP-Patch: Rootkit lässt Rechner »einfrieren«
Ein Rootkit ist nach Angaben der Sicherheitsfirma Symantec und von Microsoft dafür verantwortlich, dass Windows-XP-Rechner nach Einspielen eines Sicherheits-Updates nicht mehr starten. Den Patch hatte Microsoft vor einer Woche veröffentlicht.
Die Vermutung von Microsoft-Fachleuten, dass Schadsoftware für den »Blue Screen of Death« bei gepatchten Windows-XP-Systemen verantwortlich ist, hat nun die Security-Firma Symantec bestätigt.
Wie berichtet (siehe Beitrag Microsoft zieht XP-Patch zurück), hatten sich Nutzer von XP darüber beschwert, dass nach Einspielen eines Sicherheits-Updates, das vergangene Woche herauskam, ihre Systeme nicht mehr starteten. Stattdessen zeigte sich beim Booten der gefürchtete »Blaue Bildschirm«.
Nach Angaben von Symantec (siehe Beitrag im Blog des Security-Response-Teams der Firma) gehen die Probleme auf das Konto des Rootkits Tidserve. Es infiziert in der Regel die Datei atapi.sys. Bei Start eines Rechners greift Tidserve auf bestimmte APIs zu, um Speicherplatz für den eigentlichen Schadcode zu reservieren.
Treiber greifen auf falsche Adressen zu
Durch den Kernel-Patch MS10-015 von Microsoft änderten sich die Relative Virtual Address (RVAs) dieser APIs. Dadurch griffen infizierte Treiber auf ungültige Adressen zu und verursachten den Blue Screen. Da die betroffenen Treiber bereits beim Boot-Vorgang aufgerufen werden, ist nicht einmal ein Start des Rechners im abgesicherten Modus möglich.
Laut Symantec zählt das Tidserve zu derjenigen Kategorie von Rootkits, die sich nur schwer aufspüren lassen. Die Sicherheitsfirma rät betroffenen XP-Anwendern, eine »saubere« atapi.sys-Datei zu installieren. Zwar sei nicht ausgeschlossen, dass Tidserve auch andere Files infiziert habe, doch in den meisten Fällen konzentriert sich der Schädling auf die besagte Datei.
- Update zu Windows-XP-Patch: Rootkit lässt Rechner »einfrieren«
- Workaround von Symantec
Lesen Sie mehr zum Thema
