Sicherheits-Patch für Windows XP:
Update zu Windows-XP-Patch: Rootkit lässt Rechner »einfrieren«
Ein Rootkit ist nach Angaben der Sicherheitsfirma Symantec und von Microsoft dafür verantwortlich, dass Windows-XP-Rechner nach Einspielen eines Sicherheits-Updates nicht mehr starten. Den Patch hatte Microsoft vor einer Woche veröffentlicht.
Die Vermutung von Microsoft [1]-Fachleuten, dass Schadsoftware für den »Blue Screen of Death« bei gepatchten Windows-XP-Systemen verantwortlich ist, hat nun die Security-Firma Symantec [2] bestätigt.
Das Rootkit Tidserve ist laut Symantec dafür verantwortlich, dass Windows-XP-Rechner nach Einspielen eines Sicherheits-Patches nicht mehr starten.
Wie berichtet (siehe Beitrag Microsoft zieht XP-Patch zurück [3]), hatten sich Nutzer von XP darüber beschwert, dass nach Einspielen eines Sicherheits-Updates, das vergangene Woche herauskam, ihre Systeme nicht mehr starteten. Stattdessen zeigte sich beim Booten der gefürchtete »Blaue Bildschirm«.
Nach Angaben von Symantec (siehe Beitrag im Blog [4] des Security-Response-Teams der Firma) gehen die Probleme auf das Konto des Rootkits Tidserve. Es infiziert in der Regel die Datei atapi.sys. Bei Start eines Rechners greift Tidserve auf bestimmte APIs zu, um Speicherplatz für den eigentlichen Schadcode zu reservieren.
Treiber greifen auf falsche Adressen zu
Durch den Kernel-Patch MS10-015 von Microsoft änderten sich die Relative Virtual Address (RVAs) dieser APIs. Dadurch griffen infizierte Treiber auf ungültige Adressen zu und verursachten den Blue Screen. Da die betroffenen Treiber bereits beim Boot-Vorgang aufgerufen werden, ist nicht einmal ein Start des Rechners im abgesicherten Modus möglich.
Laut Symantec zählt das Tidserve zu derjenigen Kategorie von Rootkits, die sich nur schwer aufspüren lassen. Die Sicherheitsfirma rät betroffenen XP-Anwendern, eine »saubere« atapi.sys-Datei zu installieren. Zwar sei nicht ausgeschlossen, dass Tidserve auch andere Files infiziert habe, doch in den meisten Fällen konzentriert sich der Schädling auf die besagte Datei.
Workaround von Symantec
Anwender sollten folgendermaßen vorgehen:
1. Von einer Windows-XP-CD oder einem Stick mit dem Betriebssystem booten.
2. Die infizierte Festplattenpartition lokalisieren. Normalerweise handelt es sich um die Boot-Partition.
3. Die Datei atapi.sys im Verzeichnis \%Windir%\system32\drivers durch eine nicht infizierte Backup-Version ersetzen.
4. Den Rechner neu starten.
Sollte dies nicht zum Erfolg führen, ist zu vermuten, dass weitere beziehungsweise andere Systemdateien infiziert sind. Dann sollte der User dieselbe Prozedur für folgende Files wiederholen:
iastor.sys,
idechndr.sys,
ndis.sys,
nvata.sys und
vmscsi.sys.
[1] http://www.microsoft.de/
[2] http://www.symantec.de/
[3] http://www.networkcomputing.de/netzwerk/sicherheit/artikel-80120.html
[4] http://www.symantec.com/connect/blogs/tidserv-and-ms10-015
- 1. Seite: Update zu Windows-XP-Patch: Rootkit lässt Rechner »einfrieren«
- 2. Seite: Workaround von Symantec
» Tipp der Redaktion
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
» Top-Stories der Woche
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
Was der 1&1-Werbestar wirklich will
Ist er ein Schauspieler, oder ist er »echt«? Seit diesem Frühjahr wirbt Marcell D’Avis als »Leiter Kundenzufriedenheit« in TV-Spots für den Internetprovider 1&1. CRN hat D’Avis getroffen.
Weitere Artikel
» Meistgelesene News
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
Nokia N8 mit Symbian 3
Mit seinem neuen Touchscreen-Smartphone N8 will Nokia endlich Apples iPhone und der wachsenden Andoid-Konkurrenz wieder ernsthaft Paroli bieten. Eine besonders wichtige Rolle kommt daher dem neuen Symbian 3 zu, das die Bedienung per Touchscreen weit besser unterstützt als die Vorgängerversionen.
» Preisvergleich Top 5
- Hier finden Sie Software zum Thema CAD Programme
Melden Sie sich an, um einen Leserkommentar schreiben zu können.