KressTech.de

Das Portal zur Computerwelt

 

 

::  Zur Startseite

  

::  Easy-Shopping

   ::  Web-Charts

 ::  Internet Security

   ::  Gratis SMS   ::  Fun Ecke

::  Tipps & Tricks

  

::  Surftipps

 

 ::  Gästebuch

::  Software

  

::  News    ::  Archiv

   ::  Kontakt

 
KressTech.de

 

 

    Rootkit verursacht Bluescreens bei XP


Die Sicherheitsexperten von Symantec führen die aktuell vermehrt auftretenden Bluscreens bei Windows XP-Systemen auf ein Rootkit zurück.

Laut Symantec soll für viele der in den letzten Tagen auftretenden Bluescreens bei XP-Systemen ein Rootkit mit Backdoor Tidserv verantwortlich sein. Tidserv indfiziert Low-Level-Kerneltreiber wie den IDE-Treiber atapi.sys, um sich in ein System einzuschleichen. Einmal aktiv, lässt sich das Rootkit auch nicht mehr mit einem einfachen Virenscanner ohne weiteres aufspüren, daher fällt eine Infektion betroffenen Anwendern fast nie auf.
 


Die Bluescreens traten nach dem von Microsoft in der vergangenen Woche veröffentlichten Update MS010-015 vermehrt auf. Microsoft bestätigte bereits das gehäufte Auftreten der Bluescreens und stoppte die Verteilung des Updates zunächst, ohne sich jedoch über die Ursache im Klaren zu sein. Mittlerweile geht man bei Microsoft ebenfalls von einem Schädling als Verursacher aus.

Offenbar tritt der Bluescreen auf, weil das Rootkit fest kodierte, relative virtuelle Adressen (RVAs) benutzt, die sich nach der Installation des Updates MS010-015 am vergangenen Patchday unter Windows XP geändert haben. Als Folge davon ruft das infizierte Kernel-Modul ungültige Adressen auf, was wiederholt zu einem Seitenfehler und einem Neustart des Rechners führt.
Symantec geht mittlerweile nicht mehr davon aus, dass das Problem nur auf Windows XP beschränkt ist, auch ist es ohne weiteres möglich, dass auch andere Kernel-Treiber von Tidserv infiziert werden, die festcodierte Adressen verwenden, wie etwa iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys.
 


Nutzern dessen System auch im abgesicherten Modus nicht mehr startet, schlägt Symantec vor, die möglicherweise infizierten Treiber durch eine nicht infizierte Kopie aus einem Backup zu ersetzen und nicht das Microsoft-Patch zu deinstallieren. Auch ein Scan mit einer Boot-CD eines Symantec-Produkts würde die Infektion erkennen und reparieren können, jedoch ist das Risiko, dass Fehler bei der automatischen Desinfizierung passieren, zu gross. Auch wenn ein System erfolgreich repariert werden konnte, wird betroffenen Anwender eine Neuinstallation nahegelegt. (15.02.10, Heise)
 

Siehe auch:

Gefakter Virenscanner generiert Malware

 

Diese Meldung einem Freund senden

 

0

zum Seitenanfang