Microsoft hat das beim letzten Patch Day bereit gestellte Update KB977165 (MS10-015) aus dem Verkehr gezogen, weil Windows bei einigen Anwendern nach dem Neustart nicht mehr hochfährt. Untersuchungen derart betroffener Rechner haben ergeben, dass möglicherweise ein Rootkit die Ursache des Problems sein kann.
Wie Jerry Bryant im Blog des Microsoft Security Response Center (MSRC) erklärt, habe Microsoft einige nicht mehr startende Windows-Rechner bei Kunden abgeholt, um das Problem zu analysieren. Dabei haben Microsofts heraus gefunden, dass Malware die Ursache des Problems sein kann. Andere Ursachen könnten jedoch noch nicht ausgeschlossen werden.
Der Antivirushersteller Symantec hat ebenfalls solche Untersuchungen angestellt und den Schädling "Backdoor.Tidserv" als einen möglichen Verursacher identifiziert. Dieses Rootkit infiziert Systemtreiber, oft atapi.sys, um Einsprungadressen für API-Aufrufe im Arbeitsspeicher zu kapern. Dabei verwendet Tidserv relative virtuelle Adressen im Kernel, die im Code des Schädlings fest vorgegeben sind.
Infizierten Treiber ersetzen
Ändert ein Software-Update wie ein Windows-Patch etwas an den von den Malware-Programmierern angenommen Strukturen, schlagen die Aufrufe fehl und das Laden des infizierten Treibers scheitert. Da es sich um einen essentiellen Systemtreiber handelt, startet Windows nicht mehr - auch nicht im Abgesicherten Modus.
Die Abhilfe kann in solchen Fällen darin bestehen, den infizierten Treiber nach Starten des Rechners von einer sauberen Boot-CD (etwa die Windows-CD) durch eine nicht verseuchte Kopie des Originaltreibers zu ersetzen. Typische Kandidaten sind laut Mircea Ciubotariu von Symantec neben atapi.sys die Treiberdateien iastor.sys, idechndr.sys, ndis.sys, nvata.sys oder vmscsi.sys.
Mit dem Originaltreiber sollte Windows wieder starten. Danach sollte der Rechner mit mehreren Antivirus- und Anti-Rootkit-Programmen untersucht und bereinigt werden. Denn wo ein Rootkit ist, findet sich in der Regel auch weitere Malware. (PC-Welt/hal)