Microsoft-Tool gegen Bluescreen-Rootkit kommt

Microsoft sieht es inzwischen als erwiesen an, dass Malware für die Neustartprobleme verantwortlich ist, die auf einer Reihe von Windows-Rechnern aufgetreten sind, nachdem das Update aus dem Security Bulletin MS10-015 installiert wurde. Das von Microsoft als "Alureon" bezeichnete Rootkit soll mit verbesserten Methoden aufgespürt und bekämpft werden.

Mike Reavey, Direktor des Microsoft Security Response Center (MSRC), erläutert im Blog des MSRC, warum das Bluescreen-Problem bei der Qualitätsprüfung der Patch-Day-Updates nicht aufgefallen sind. Reavey erklärt, mit Malware infizierte Systeme seien oft recht instabil und instabile Systeme erlaubten kaum zuverlässige Aussagen.

Das Alureon-Rootkit, so Reavey weiter, bediene sich ungewöhnlicher, wenn auch nicht neuer Methoden. Es versuche mittels fest einprogrammierter relativer virtueller Adressen auf die Kerne-API von Windows zuzugreifen. Das Update aus dem Security Bulletin MS10-015 bringe einen neuen Kernel ins System. Die Adressabfragen von Alureon greifen nach dem Update auf ungültige Speicherbereiche zu, sodass es zum Bluescreen komme.

Scott Molenkamp vom Microsoft Malware Protection Center (MMPC) liefert im MMPC-Blog eine Reihe von Details zur Funktionsweise des Rootkits. Daraus wird auch klar, warum die Eigenarten von Alureon nach der Installation des Kernel-Updates zu Problemen führen müssen. Die 64-Bit-Ausgaben von Windows sind nicht betroffen, denn Alureon kann nur 32-Bit-Systeme infizieren.

Mike Reavey erklärt, Microsoft habe das Sicherheits-Update KB977165 aus dem Security Bulletin MS10-015 inzwischen wieder frei gegeben. Er kündigt an, Microsoft wolle daran arbeiten derartige Probleme mit infizierten Rechnern künftig besser aufspüren zu können. Ferner wolle Microsoft, wie auch andere Antivirushersteller, eine einfachere Methode entwickeln und bereit stellen, um das Alureon-Rootkit (Alias: Tidserve, TDL3, TDSS) zu entfernen. Das könne jedoch ein paar Wochen dauern.