Kriminelle «reparieren» XP-System
Archivmeldung vom 18.02.2010
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 18.02.2010 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittWahrscheinlich war eine Malware für vereinzelte Bluescreens nach dem letzten XP-Patch-Day verantwortlich. Da die Kriminellen aber gar nicht an Abstürzen interessiert sind, haben sie jetzt anscheinend selbst ein Update geliefert, mit dem die infizierten Rechner wieder starten.
Einige Windows-XP-Anwender haben nach dem Microsoft Patch-Day vom 9. Februar über Probleme mit den Updates berichtet. Nach der Installation der Sicherheits-Updates und dem allfälligen Neustart des Rechners fährt Windows nicht hoch, es erscheint der berüchtigte Bluescreen. Ursache dürfte eine Malware-Infektion sein. Nach einhelliger Ansicht von Microsoft, Symantec, Kaspersky Lab und anderen Sicherheitsunternehmen spricht vieles dafür, dass die betroffenen Rechner mit einem Rootkit aus der Tidserve-Familie (Alias: TDL3, TDSS) infiziert sind. Dieses benutzt vordefinierte relative Adressen, um die Einsprungadressen für API-Funktionen des Windows-Kerns im Speicher zu ermitteln. Deren Adressstruktur wird durch das Sicherheits-Update KB977165 aus dem Security Bulletin MS10-015 verändert. Dadurch greift der Schädling auf ungültige Speicheradressen zu und der BSoD erscheint. Das Problem kann alle Windows-Versionen betreffen, die meisten der infizierten Rechner laufen allerdings unter Windows XP. Infizierte Windows-Rechner, die nicht mehr starten, sind schlecht fürs Geschäft der Onlinekriminellen, denn sie bringen nichts mehr ein. Daher haben die Programmierer des Tidserve-Rootkits eine neue Version in Umlauf gebracht, die kompatibel mit dem Microsoft-Update ist. Das ist kein ungewöhnlicher Schritt ? Der Schädling wird wie viele andere auch ohnehin täglich verändert. Dies geschieht, um die Erkennung durch Antiviren-Software zu erschweren.
Quelle: PCtipp IDG Communications AG