Patch Day für Rootkit
Programmierer korrigieren Bluescreen-Malware
Nachdem wahrscheinlich ein Rootkit für den Bluescreen nach der Installation eines Microsoft Sicherheits-Updates verantwortlich ist, haben die Malware-Programmierer eine korrigierte Fassung in Umlauf gebracht.
Einige Windows-Anwender haben nach dem Microsoft Patch Day vom 9. Februar über Probleme mit den Updates berichtet. Nach der Installation der Sicherheits-Updates und dem allfälligen Neustart des Rechners fährt Windows nicht hoch, erscheint der berüchtigte "Blue Screen of Death" (BSoD). Ursache dürfte eine Malware-Infektion sein.
Nach einhelliger Ansicht von Microsoft, Symantec, Kaspersky Lab und anderen Sicherheitsunternehmen spricht vieles dafür, dass die betroffenen Rechner mit einem Rootkit aus der Tidserve-Familie (Alias: TDL3, TDSS) infiziert sind. Dieses benutzt vordefinierte relative Adressen, um die Einsprungadressen für API-Funktionen des Windows-Kerns im Speicher zu ermitteln.
Deren Adresstruktur wird durch das Sicherheits-Update KB977165 aus dem Security Bulletin MS10-015 verändert. Dadurch greift der Schädling auf ungültige Speicheradressen zu und der BSoD erscheint. Das Problem kann alle Windows-Versionen betreffen, die meisten der infizierten Rechner laufen allerdings unter Windows XP.
Infizierte Windows-Rechner, die nicht mehr starten, sind schlecht fürs Geschäft der Online-Kriminellen, denn sie bringen nichts mehr ein. Daher haben die Programmierer des Tidserve-Rootkits eine neue Version in Umlauf gebracht, die kompatibel zu dem Microsoft-Update ist. Das ist kein ungewöhnlicher Schritt - der Schädling wird wie viele andere auch ohnehin täglich verändert. Dies geschieht, um die Erkennung durch Antivirus-Software zu erschweren.
