com!-Academy-Banner
Sicherheit

Symantec: Rootkit schuld an Windows-Bluescreen

von - 15.02.2010
Forscher von Symantec vermuten, dass ein Backdoor-Schädling an dem Bluescreen schuld ist, den manche nach dem Windows-Update erhalten. Er verberge sich so tief im System, dass die Benutzer ihn bislang nicht bemerkt hatten.
Sicherheitsspezialisten von Symantec gehen in einer Analyse davon aus, dass der Bluescreen, der bei einigen Windows-Nutzern nach dem Einspielen der aktuellen Februar-Patche von Microsoft auftrat, von dem Rootkit-Schädling Backdoor.Tidserv verursacht wird. Der Schädling lege es darauf an, sich möglichst gut zu verbergen. Er werde daher von den Nutzern häufig nicht entdeckt. Da er sich so tief im System verstecke, bemerkten die Anwender oft auch keine Veränderungen an ihrem Rechner. Bei Tidserv handelt es sich um ein trojanisches Pferd, das eine Hintertür im angegriffenen System öffnet, durch die Angreifer den infizierten Rechner entern können. In den meisten Fällen infiziert der Schädling den Treiber "atapi.sys", um an kritische API-Adressen zu gelangen und sich mehr Speicher zu verschaffen. Symantec zufolge erhält das System die API-Adressen über hart-kodierte relave virtuelle Adressen (RVAs). Die Sicherheitsexperten vermuten, dass Windows die virtuellen Adressen für die APIs mit dem Kernel-Patch im Februar-Update geändert hat. Infizierte Treiber stolpern nun über die ungültigen Adressen und verursachen den Bluescreen beim Windows-Start.
Symantec zufolge lässt sich das Problem lösen, wenn Betroffene den infizierten Atapi.sys-Treiber durch einen sauberen ersetzen (beispielsweise aus einem Backup). Die Sicherheitsfachleute geben folgende Anleitung:
1. Von der Windows-CD oder einem verlässlichen externem Medium booten
2. Infizierte Partition lokalisieren (in der Regel die Boot-Partition)
3. Atapi.sys in \%Windir%\system32\drivers durch nicht-infizierte Backup-Kopie ersetzen
4. Neu starten
Der Rootkit-Trojaner Tidserv kann jedoch auch andere Treiber infizieren, beispielsweise lastor.sys, idechndr.sys, ndis.sys, nvata.sys oder vmscsi.sys. Symantec weist überdies darauf hin, dass auch andere Faktoren Bluescreens verursachen können.
Verwandte Themen