Sicherheits-Patch für Windows XP:
Update zu Windows-XP-Patch: Rootkit lässt Rechner »einfrieren«
Ein Rootkit ist nach Angaben der Sicherheitsfirma Symantec und von Microsoft dafür verantwortlich, dass Windows-XP-Rechner nach Einspielen eines Sicherheits-Updates nicht mehr starten. Den Patch hatte Microsoft vor einer Woche veröffentlicht.
(Fortsetzung des Artikels von Seite 1)
Die Vermutung von Microsoft [1]-Fachleuten, dass Schadsoftware für den »Blue Screen of Death« bei gepatchten Windows-XP-Systemen verantwortlich ist, hat nun die Security-Firma Symantec [2] bestätigt.
Das Rootkit Tidserve ist laut Symantec dafür verantwortlich, dass Windows-XP-Rechner nach Einspielen eines Sicherheits-Patches nicht mehr starten.
Wie berichtet (siehe Beitrag Microsoft zieht XP-Patch zurück [3]), hatten sich Nutzer von XP darüber beschwert, dass nach Einspielen eines Sicherheits-Updates, das vergangene Woche herauskam, ihre Systeme nicht mehr starteten. Stattdessen zeigte sich beim Booten der gefürchtete »Blaue Bildschirm«.
Nach Angaben von Symantec (siehe Beitrag im Blog [4] des Security-Response-Teams der Firma) gehen die Probleme auf das Konto des Rootkits Tidserve. Es infiziert in der Regel die Datei atapi.sys. Bei Start eines Rechners greift Tidserve auf bestimmte APIs zu, um Speicherplatz für den eigentlichen Schadcode zu reservieren.
Treiber greifen auf falsche Adressen zu
Durch den Kernel-Patch MS10-015 von Microsoft änderten sich die Relative Virtual Address (RVAs) dieser APIs. Dadurch griffen infizierte Treiber auf ungültige Adressen zu und verursachten den Blue Screen. Da die betroffenen Treiber bereits beim Boot-Vorgang aufgerufen werden, ist nicht einmal ein Start des Rechners im abgesicherten Modus möglich.
Laut Symantec zählt das Tidserve zu derjenigen Kategorie von Rootkits, die sich nur schwer aufspüren lassen. Die Sicherheitsfirma rät betroffenen XP-Anwendern, eine »saubere« atapi.sys-Datei zu installieren. Zwar sei nicht ausgeschlossen, dass Tidserve auch andere Files infiziert habe, doch in den meisten Fällen konzentriert sich der Schädling auf die besagte Datei.
Workaround von Symantec
Anwender sollten folgendermaßen vorgehen:
1. Von einer Windows-XP-CD oder einem Stick mit dem Betriebssystem booten.
2. Die infizierte Festplattenpartition lokalisieren. Normalerweise handelt es sich um die Boot-Partition.
3. Die Datei atapi.sys im Verzeichnis \%Windir%\system32\drivers durch eine nicht infizierte Backup-Version ersetzen.
4. Den Rechner neu starten.
Sollte dies nicht zum Erfolg führen, ist zu vermuten, dass weitere beziehungsweise andere Systemdateien infiziert sind. Dann sollte der User dieselbe Prozedur für folgende Files wiederholen:
iastor.sys,
idechndr.sys,
ndis.sys,
nvata.sys und
vmscsi.sys.
[1] http://www.microsoft.de/
[2] http://www.symantec.de/
[3] http://www.networkcomputing.de/netzwerk/sicherheit/artikel-80120.html
[4] http://www.symantec.com/connect/blogs/tidserv-and-ms10-015
- 1. Seite: Update zu Windows-XP-Patch: Rootkit lässt Rechner »einfrieren«
- 2. Seite: Workaround von Symantec
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Der wahrscheinlich härteste USB-Stick der Welt
Mit seiner ruggedized Superior-Serie verspricht Adata USB-Sticks für Outdoor-Abenteuer aller Art. Wir haben die Riegel auf eine verdammt harte Probe gestellt und sie zurück ins Mittelalter geschickt, wo sie es mit Pfeilen, Schwertern und sogar Streitkolben zu tun bekamen. Mit überraschenden Ergebnissen.
Die witzigsten Internetmemes
Jeden Internet-Surfer sind sie schon über den Weg gelaufen. Ob in sozialen Netzwerken, auf Videoportalen oder sogar offline im Freundeskreis, Internet-Meme sind überall. Wir haben die witzigsten Internet-Phänomene zusammengesucht.
Google fordert jährlich 4 Milliarden von Microsoft
Im Patentstreit gegen Microsoft fordert Google künftig vier Milliarden US-Dollar pro Jahr für die Nutzungsrechte an Patenten, die Microsoft mit der Xbox 360 verletzen soll. Alternativ will Google den Verkauf der beliebten Spielkonsole unterbinden lassen.
» Bilderstrecken
» Meistgelesene News
Kommt der Apple-Fernseher von Loewe?
Branchengerüchten zufolge hat Apple dem deutschen TV-Hersteller Loewe ein Übernahmeangebot unterbreitet. Loewe hat zwar umgehend dementiert, trotzdem blühen die Spekulationen, dass der geplante Apple-Fernseher in Zusammenarbeit mit Loewe entstehen könnte.
Das sind die 10 meistverkauften Handys
Der schwedische Zubehöranbieter Krusell errechnet jeden Monat anhand seiner abverkauften Smartphone- und Handy-Cases, welche Modelle derzeit besonders gefragt sind. Die Aufstellung ist zwar nicht so genau wie die Analysen der Marktforscher, aber dennoch aufschlussreich.