Microsoft Patch-Problem

Update-Bluescreen durch Malware?

Der zuweilen in Zusammenhang mit der Installation des Windows-Updates aus dem Security Bulletin MS10-015 auftretende Bluescreen könnte auf ein recht verbreitetes Rootkit zurück zu führen sein.

Microsoft hat das beim letzten Patch Day bereit gestellte Update KB977165 (MS10-015) aus dem Verkehr gezogen, weil Windows bei einigen Anwendern nach dem Neustart nicht mehr hochfährt. Untersuchungen derart betroffener Rechner haben ergeben, dass möglicherweise ein Rootkit die Ursache des Problems sein kann.

Achtung: Bluescreen nach Neustart.
Achtung: Bluescreen nach Neustart.

Wie Jerry Bryant im Blog des Microsoft Security Response Center (MSRC) erklärt, habe Microsoft einige nicht mehr startende Windows-Rechner bei Kunden abgeholt, um das Problem zu analysieren. Dabei haben Microsofts heraus gefunden, dass Malware die Ursache des Problems sein kann. Andere Ursachen könnten jedoch noch nicht ausgeschlossen werden.

Der Antivirushersteller Symantec hat ebenfalls solche Untersuchungen angestellt und den Schädling "Backdoor.Tidserv" als einen möglichen Verursacher identifiziert. Dieses Rootkit infiziert Systemtreiber, oft atapi.sys, um Einsprungadressen für API-Aufrufe im Arbeitsspeicher zu kapern. Dabei verwendet Tidserv relative virtuelle Adressen im Kernel, die im Code des Schädlings fest vorgegeben sind.