Kriminelle «reparieren» Windows XP

Einige Windows-XP-Anwender haben nach dem Microsoft Patchday vom 9. Februar 2010 über Probleme mit den Updates berichtet. Nach der Installation der Sicherheits-Updates und dem allfälligen Neustart des Rechners fährt Windows nicht hoch, es erscheint der berüchtigte Bluescreen (Computerworld berichtete).

Ursache dürfte eine Malware -Infektion sein. Nach einhelliger Ansicht von Microsoft und Security-Experten wie Symantec und Kaspersky Lab spricht vieles dafür, dass die betroffenen Rechner mit einem Rootkit aus der Tidserve-Familie (Alias: TDL3, TDSS) infiziert sind. Dieses benutzt vordefinierte relative Adressen, um die Einsprungadressen für API-Funktionen des Windows-Kerns im Speicher zu ermitteln. Deren Adressstruktur wird durch das Sicherheits-Update KB977165 aus dem Security Bulletin MS10-015 verändert. Somit greift der Schädling auf ungültige Speicheradressen zu und der BSoD (Bluescreen of Death) erscheint. Das Problem kann alle Windows-Versionen betreffen, die meisten der infizierten Rechner laufen allerdings unter Windows XP.

Infizierte Windows-Rechner, die nicht mehr starten, sind schlecht fürs Geschäft der Onlinekriminellen, denn sie bringen nichts mehr ein. Daher haben die Programmierer des Tidserve-Rootkits eine neue Version in Umlauf gebracht, die kompatibel mit dem Microsoft-Update ist. Das ist kein ungewöhnlicher Schritt - der Schädling wird wie viele andere auch ohnehin täglich verändert. Dies geschieht, um die Erkennung durch Antiviren-Software zu erschweren.