Symantec: Rootkit verursacht Windows-XP-Bluescreens

Dieses Thema im Forum "Netzwelt" wurde erstellt von CanHurry, 16. Februar 2010 .

Schlagworte:
  1. 16. Februar 2010
    Symantec: Rootkit verursacht Windows-XP-Bluescreens

    Nach Analysen von Symantec dürfte das Rootkit mit Backdoor Tidserv für viele der aktuell unter Windows XP auftretenden Bluescreens verantwortlich sein. Tidserv infiziert laut Symantec Low-Level-Kerneltreiber wie den IDE-Treiber atapi.sys, um sich in das System einzuklinken und zu verstecken. Sobald das Rootkit aktiv ist, lässt es sich offenbar mit einfachen Mitteln (und auch Virenscannern) nicht mehr so leicht aufspüren – daher sei es den meisten Anwendern nicht aufgefallen, dass etwas mit dem PC nicht stimme.

    Microsoft hatte die gehäuft auftretenden Bluescreens bestätigt, war sich aber zunächst über die Ursache im Unklaren. Sicherhalber habe man die Verteilung des Updates MS010-015 über die Server gestoppt, schrieb das Security Response Center in seinem Blog am Freitag. Trotzdem bekamen Anwender noch am Wochenende das Update angeboten. Microsoft geht inzwischen auch davon aus, dass ein Schädling der Grund für die Probleme ist.

    Der Bluescreen tritt offenbar auf, weil das Rootkit festkodierte, relative virtuelle Adressen (RVAs) benutzt, die sich nach der Installation des Updates MS010-015 am vergangenen Patchday unter Windows XP geändert haben. In der Folge ruft das infizierte Kernel-Modul ungültige Adressen auf, was zu einem Seitenfehler und einem Neustart des Rechners führt – und das immer und immer wieder. Symantec schränkt das Problem jedoch nicht allein auf Windows XP ein. Zudem könne es durchaus auch andere Kerneltreiber geben, die festkodierte Adressen verwenden. Der häufigste Auslöser ist laut Symantec aktuell aber Tidserv.

    Da es sich bei atapi.sys um einen elementaren Treiber handelt, lässt sich Windows auch nicht mehr im abgesicherten Modus starten. Statt den Patch von Microsoft zu deinstallieren, schlägt Symantec vor, den infizierten Treiber durch eine nicht infizierte Kopie zu ersetzen, beispielsweise aus einem Backup. Zwar würde beim Scan des Systems (mit einer Boot-CD) Symantec eine Infektion des Treiber erkennen können, allerdings könne auf noch funktionierenden Systemen eine automatische Desinfektion schiefgehen.

    Neben dem Treiber atapi.sys kann Tidserv auch anderen Treiber infiziert haben, etwa iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys. Betroffene Anwender sollten aber auch nach der Reparatur des Systems ein vollständige Windows-Neuinstallation in Betracht ziehen.

    Quelle: heise.de
     
    + Multi-Zitat Zitieren
  3. 18. Februar 2010
    AW: Symantec: Rootkit verursacht Windows-XP-Bluescreens

    Für habe ich Norton sehr gerne benutzt, aber irgendwann wurde es mir zu Perfomence fressend.

    In der letzen Zeit habe ich viele News gelesen, das Norton bzw Symantec gegen MS und seine Produkte stänkert.

    Da MUSS ich ja fast einen Zusammenhang ziehen und behaupte, das Symantec ein wenig ADS hat.

    Zur Meldung: Selten so einen langweiligen Scheiß gelesen. Jeder der von sowas Ahnung hat weiß von lange von dem Problem und informiert sich nicht bei heise.de über sowas.
     
    + Multi-Zitat Zitieren
  4. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten