Microsoft: Rootkit verursacht möglicherweise Probleme mit Windows-Patch

Microsoft vermutet, dass Schadsoftware für wiederholte Neustarts von Windows XP verantwortlich ist, die nach der Installation des am vergangenen Dienstag veröffentlichten Windows-Patches MS10-015 auftreten können. Der Softwareanbieter hat nach Beschwerden von Anwendern die Verbreitung des Updates vorübergehend gestoppt. Allerdings schließt er andere Ursachen noch nicht vollständig aus.

Wie der Sicherheitsexperte Brian Krebs in seinem Blog berichtet, hat der IT-Dienstleister Cat-man-du.com auf mindestens drei Computern von Kunden, die von dem Problem betroffen sind, ein Rootkit gefunden. Der Schädling habe den Festplattentreiber atapi.sys infiziert und löse die Abstürze aus.

Symantec identifiziert den Schädling als „Backdoor.Tidserv“. „Er nutzt eine fortgeschrittene Rootkit-Technologie, um seine Existenz zu verbergen“, schreibt Symantec-Mitarbeiter Mircea Ciubotariu in einem Blogeintrag. Dafür infiziere er Low-Level-Kernel-Treiber. Abhängig von der Hardware-Konfiguration befalle das Rootkit neben atapi.sys auch iastor.sys, idechndr.sys, ndis.sys, nvata.sys oder vmscsi.sys.

„Wir wissen, dass die Neustarts eventuell auch von anderen guten oder schlechten Kernel-Mode-Applikationen verursacht werden können, aber Tidserv ist eine der häufigsten Bedrohungen, die als Grund in Frage kommt“, so Ciubotariu weiter. Symantec empfiehlt, mit Tidserv infizierte Treiber manuell auszutauschen, da eine automatische Entfernung dazu führen könne, dass ein System nicht mehr starte.