Sicherheits-Patch für Windows XP:
Update zu Windows-XP-Patch: Rootkit lässt Rechner »einfrieren«

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
16.02.2010

Ein Rootkit ist nach Angaben der Sicherheitsfirma Symantec und von Microsoft dafür verantwortlich, dass Windows-XP-Rechner nach Einspielen eines Sicherheits-Updates nicht mehr starten. Den Patch hatte Microsoft vor einer Woche veröffentlicht.

Die Vermutung von Microsoft [1]-Fachleuten, dass Schadsoftware für den »Blue Screen of Death« bei gepatchten Windows-XP-Systemen verantwortlich ist, hat nun die Security-Firma Symantec [2] bestätigt.

Das Rootkit Tidserve ist laut Symantec dafür verantwortlich, dass Windows-XP-Rechner nach Einspielen eines Sicherheits-Patches nicht mehr starten.

Wie berichtet (siehe Beitrag Microsoft zieht XP-Patch zurück [3]), hatten sich Nutzer von XP darüber beschwert, dass nach Einspielen eines Sicherheits-Updates, das vergangene Woche herauskam, ihre Systeme nicht mehr starteten. Stattdessen zeigte sich beim Booten der gefürchtete »Blaue Bildschirm«.

Nach Angaben von Symantec (siehe Beitrag im Blog [4] des Security-Response-Teams der Firma) gehen die Probleme auf das Konto des Rootkits Tidserve. Es infiziert in der Regel die Datei atapi.sys. Bei Start eines Rechners greift Tidserve auf bestimmte APIs zu, um Speicherplatz für den eigentlichen Schadcode zu reservieren.

Treiber greifen auf falsche Adressen zu

Durch den Kernel-Patch MS10-015 von Microsoft änderten sich die Relative Virtual Address (RVAs) dieser APIs. Dadurch griffen infizierte Treiber auf ungültige Adressen zu und verursachten den Blue Screen. Da die betroffenen Treiber bereits beim Boot-Vorgang aufgerufen werden, ist nicht einmal ein Start des Rechners im abgesicherten Modus möglich.

Laut Symantec zählt das Tidserve zu derjenigen Kategorie von Rootkits, die sich nur schwer aufspüren lassen. Die Sicherheitsfirma rät betroffenen XP-Anwendern, eine »saubere« atapi.sys-Datei zu installieren. Zwar sei nicht ausgeschlossen, dass Tidserve auch andere Files infiziert habe, doch in den meisten Fällen konzentriert sich der Schädling auf die besagte Datei.

Workaround von Symantec

Anwender sollten folgendermaßen vorgehen:

1. Von einer Windows-XP-CD oder einem Stick mit dem Betriebssystem booten.

2. Die infizierte Festplattenpartition lokalisieren. Normalerweise handelt es sich um die Boot-Partition.

3. Die Datei atapi.sys im Verzeichnis \%Windir%\system32\drivers durch eine nicht infizierte Backup-Version ersetzen.

4. Den Rechner neu starten.

Sollte dies nicht zum Erfolg führen, ist zu vermuten, dass weitere beziehungsweise andere Systemdateien infiziert sind. Dann sollte der User dieselbe Prozedur für folgende Files wiederholen:

iastor.sys,

idechndr.sys,

ndis.sys,

nvata.sys und

vmscsi.sys.

[1] http://www.microsoft.de/
[2] http://www.symantec.de/
[3] http://www.networkcomputing.de/netzwerk/sicherheit/artikel-80120.html
[4] http://www.symantec.com/connect/blogs/tidserv-and-ms10-015

Verwandte Artikel