Kriminelle «reparieren» XP-System

Einige Windows-XP-Anwender haben nach dem Microsoft Patch-Day vom 9. Februar über Probleme mit den Updates berichtet. Nach der Installation der Sicherheits-Updates und dem allfälligen Neustart des Rechners fährt Windows nicht hoch, es erscheint der berüchtigte Bluescreen.
Ursache dürfte eine Malware-Infektion sein. Nach einhelliger Ansicht von Microsoft, Symantec, Kaspersky Lab und anderen Sicherheitsunternehmen spricht vieles dafür, dass die betroffenen Rechner mit einem Rootkit aus der Tidserve-Familie (Alias: TDL3, TDSS) infiziert sind. Dieses benutzt vordefinierte relative Adressen, um die Einsprungadressen für API-Funktionen des Windows-Kerns im Speicher zu ermitteln.
Deren Adressstruktur wird durch das Sicherheits-Update KB977165 aus dem Security Bulletin MS10-015 verändert. Dadurch greift der Schädling auf ungültige Speicheradressen zu und der BSoD erscheint. Das Problem kann alle Windows-Versionen betreffen, die meisten der infizierten Rechner laufen allerdings unter Windows XP.

Infizierte Windows-Rechner, die nicht mehr starten, sind schlecht fürs Geschäft der Onlinekriminellen, denn sie bringen nichts mehr ein. Daher haben die Programmierer des Tidserve-Rootkits eine neue Version in Umlauf gebracht, die kompatibel mit dem Microsoft-Update ist. Das ist kein ungewöhnlicher Schritt – der Schädling wird wie viele andere auch ohnehin täglich verändert. Dies geschieht, um die Erkennung durch Antiviren-Software zu erschweren.