Symantec: Rootkit schuld an Windows-Bluescreen

Sicherheitsspezialisten von Symantec gehen in einer Analyse davon aus, dass der Bluescreen, der bei einigen Windows-Nutzern nach dem Einspielen der aktuellen Februar-Patche von Microsoft auftrat, von dem Rootkit-Schädling Backdoor.Tidserv verursacht wird. Der Schädling lege es darauf an, sich möglichst gut zu verbergen. Er werde daher von den Nutzern häufig nicht entdeckt. Da er sich so tief im System verstecke, bemerkten die Anwender oft auch keine Veränderungen an ihrem Rechner. Bei Tidserv handelt es sich um ein trojanisches Pferd, das eine Hintertür im angegriffenen System öffnet, durch die Angreifer den infizierten Rechner entern können. In den meisten Fällen infiziert der Schädling den Treiber "atapi.sys", um an kritische API-Adressen zu gelangen und sich mehr Speicher zu verschaffen. Symantec zufolge erhält das System die API-Adressen über hart-kodierte relave virtuelle Adressen (RVAs). Die Sicherheitsexperten vermuten, dass Windows die virtuellen Adressen für die APIs mit dem Kernel-Patch im Februar-Update geändert hat. Infizierte Treiber stolpern nun über die ungültigen Adressen und verursachen den Bluescreen beim Windows-Start.

Symantec zufolge lässt sich das Problem lösen, wenn Betroffene den infizierten Atapi.sys-Treiber durch einen sauberen ersetzen (beispielsweise aus einem Backup). Die Sicherheitsfachleute geben folgende Anleitung:

1. Von der Windows-CD oder einem verlässlichen externem Medium booten

2. Infizierte Partition lokalisieren (in der Regel die Boot-Partition)

3. Atapi.sys in \%Windir%\system32\drivers durch nicht-infizierte Backup-Kopie ersetzen

4. Neu starten

Der Rootkit-Trojaner Tidserv kann jedoch auch andere Treiber infizieren, beispielsweise lastor.sys, idechndr.sys, ndis.sys, nvata.sys oder vmscsi.sys. Symantec weist überdies darauf hin, dass auch andere Faktoren Bluescreens verursachen können.