News 18.02.2010, 09:29 Uhr

Kriminelle «reparieren» XP-System

Wahrscheinlich war eine Malware für vereinzelte Bluescreens nach dem letzten XP-Patch-Day verantwortlich. Da die Kriminellen aber gar nicht an Abstürzen interessiert sind, haben sie jetzt anscheinend ein Update ihrer Malware in Umlauf gebracht, das keinen Bluescreen mehr erzeugt.
Einige Windows-XP-Anwender haben nach dem Microsoft Patch-Day vom 9. Februar über Probleme mit den Updates berichtet. Nach der Installation der Sicherheits-Updates und dem allfälligen Neustart des Rechners fährt Windows nicht hoch, es erscheint der berüchtigte Bluescreen.
Ursache dürfte eine Malware-Infektion sein. Nach einhelliger Ansicht von Microsoft, Symantec, Kaspersky Lab und anderen Sicherheitsunternehmen spricht vieles dafür, dass die betroffenen Rechner mit einem Rootkit aus der Tidserve-Familie (Alias: TDL3, TDSS) infiziert sind. Dieses benutzt vordefinierte relative Adressen, um die Einsprungadressen für API-Funktionen des Windows-Kerns im Speicher zu ermitteln.
Deren Adressstruktur wird durch das Sicherheits-Update KB977165 aus dem Security Bulletin MS10-015 verändert. Dadurch greift der Schädling auf ungültige Speicheradressen zu und der BSoD erscheint. Das Problem kann alle Windows-Versionen betreffen, die meisten der infizierten Rechner laufen allerdings unter Windows XP.
Infizierte Windows-Rechner, die nicht mehr starten, sind schlecht fürs Geschäft der Onlinekriminellen, denn sie bringen nichts mehr ein. Daher haben die Programmierer des Tidserve-Rootkits eine neue Version in Umlauf gebracht, die kompatibel mit dem Microsoft-Update ist. Das ist kein ungewöhnlicher Schritt – der Schädling wird wie viele andere auch ohnehin täglich verändert. Dies geschieht, um die Erkennung durch Antiviren-Software zu erschweren.

Autor(in) David Lee



Kommentare

Avatar
dhbb
18.02.2010
Im Prinzip hast Du nicht Unrecht, aber ob wir das wirklich wollen :confused: Der Gedanke, dass wir Updates von Cyberkriminellen ziehen...ich weiss nicht.

Avatar
David Lee
18.02.2010
Hallo zusammen Die Einleitung des Artikels war etwas irreführend, ich habs jetzt umformuliert. Die Hacker haben natürlich nicht ein Update für Windows geliefert, sondern von ihrer Malware eine neue Version in Umlauf gebracht. Es war ja die Malware, die den Bluescreen erzeugte.

Avatar
dhbb
18.02.2010
Kann ich mich deswegen jetzt sicherer fühlen ? :(

Avatar
cobradora
18.02.2010
Was mich wundert am ganzen. Keiner weisst darauf hin, Bei Crimware befall, OS Formatieren !!