Fehlerhafter XP-Patch: Rootkit erhält ein Update

Nachdem sich herausgestellt hat, dass ein fehlerhaftes Rootkit Schuld an den Abstürzen nach der Installation des Windows-XP-Patches aus dem Security Bulletin MS10-015 ist, haben die Schädlingsautoren nun ein Update veröffentlicht.

Das Katz-und-Maus-Spiel zwischen Rootkit-Autoren und Sicherheitsfirmen geht täglich in eine neue Runde. Immer wieder lassen sich beide Seiten etwas Neues einfallen, um nicht entdeckt zu werden bzw. um es leichter ausfindig zu machen. Anwender, die nach der Installation des "fehlerhaften" XP-Patches in einer Neustart-Schleife hängen geblieben sind, wurden natürlich darauf aufmerksam, dass sie Opfer einer Schadsoftware wurden.


Damit die Zahl der mit Tdss-Rootkit 3 infizierten Rechner nicht so schnell zurückgeht, haben die Virenautoren nun ein neues Update veröffentlicht, dass die Kompatibilitätsprobleme mit dem XP-Patch beseitigt. Es kommt nun also nicht mehr vor, dass der Rechner nach dem Windows-Update mit einem Bluescreen abstürzt und anschließend in einer Neustart-Schleife festhängt.

Die Backdoor setzte auf eine modifizierte atapi.sys, in der relative virtuelle Adressen (RVAs) fest eingebaut wurden. Allerdings sind diese Adressen nach der Installation des Patches nicht mehr gültig. In Folge dessen kann der Rechner anschließend nicht mehr hochgefahren werden, selbst der abgesicherte Modus kann nicht erreicht werden.