Nach Analysen von Symantec dürfte das Rootkit mit Backdoor Tidserv für viele der aktuell unter Windows XP auftretenden Bluescreens verantwortlich sein. Tidserv infiziert laut Symantec Low-Level-Kerneltreiber wie den IDE-Treiber atapi.sys, um sich in das System einzuklinken und zu verstecken. Sobald das Rootkit aktiv ist, lässt es sich offenbar mit einfachen Mitteln (und auch Virenscannern) nicht mehr so leicht aufspüren – daher sei es den meisten Anwendern nicht aufgefallen, dass etwas mit dem PC nicht stimme.
Anzeige

Microsoft hatte die gehäuft auftretenden Bluescreens bestätigt, war sich aber zunächst über die Ursache im Unklaren. Sicherhalber habe man die Verteilung des Updates MS010-015 über die Server gestoppt, schrieb das Security Response Center in seinem Blog am Freitag. Trotzdem bekamen Anwender noch am Wochenende das Update angeboten. Microsoft geht inzwischen auch davon aus, dass ein Schädling der Grund für die Probleme ist.

Der Bluescreen tritt offenbar auf, weil das Rootkit festkodierte, relative virtuelle Adressen (RVAs) benutzt, die sich nach der Installation des Updates MS010-015 am vergangenen Patchday unter Windows XP geändert haben. In der Folge ruft das infizierte Kernel-Modul ungültige Adressen auf, was zu einem Seitenfehler und einem Neustart des Rechners führt – und das immer und immer wieder. Symantec schränkt das Problem jedoch nicht allein auf Windows XP ein. Zudem könne es durchaus auch andere Kerneltreiber geben, die festkodierte Adressen verwenden. Der häufigste Auslöser ist laut Symantec aktuell aber Tidserv.

Da es sich bei atapi.sys um einen elementaren Treiber handelt, lässt sich Windows auch nicht mehr im abgesicherten Modus starten. Statt den Patch von Microsoft zu deinstallieren, schlägt Symantec vor, den infizierten Treiber durch eine nicht infizierte Kopie zu ersetzen, beispielsweise aus einem Backup. Zwar würde beim Scan des Systems (mit einer Boot-CD) Symantec eine Infektion des Treiber erkennen können, allerdings könne auf noch funktionierenden Systemen eine automatische Desinfektion schiefgehen.

Neben dem Treiber atapi.sys kann Tidserv auch anderen Treiber infiziert haben, etwa iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys. Betroffene Anwender sollten aber auch nach der Reparatur des Systems ein vollständige Windows-Neuinstallation in Betracht ziehen.

Quelle: Heise.de