Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

Rootkit, Bluescreen und automatische Updates

von Georg Binder 15. February 2010 07:38

Ei, was haben sich da die Basher wieder gefreut. Nach dem automatischen Sicherheitsupdate MS10-015 (siehe KB977165) wirft XP einen blauen Bildschirm.

image

Sofort sind “Spezialisten” am Werk, die feststellen, dass “man Updates NIE automatisch einspielen” soll, denn da weiß man ja nie, was dann ist,… dazu ein anderes Mal mehr.

Auf den ersten Blick, durchaus nachvollziehbar, wenn ein Patch das System plötzlich nicht mehr startfähig zurücklässt, dann kann das sehr ärgerlich werden. Doch wenn man ein wenig weiterforscht, dann wird es wieder lustig.

Der Bluescreen wird nämlich in vielen Fällen (wobei viel relativ ist, wenn von 300(?) Millionen Windows Benutzern vielleicht 200 betroffen sind,… oder sollen es 20.000 sein, auch egal) – also in vielen Fällen ist mitnichten das Update daran schuld sondern: ein Rootkit.

Damit ist der Bluescreen also kein Bug des Updates, sondern ein Sicherheits-Feature :) Die infizierte Datei ist dabei zumeist die atapi.sys, die eine Sprungadresse enthält, die nach dem Update nicht mehr funktioniert – das Rootkit ist also inkompatibel geworden, der Bluescreen zeigt das an. Update und Rootkit haben sonst miteinander nichts zu tun, d.h. vermutlich wäre bei JEDEM Kernelupdate der Bluescreen gekommen.

Laut Symantec handelt es sich bei dem Rootkit um die aktuelle Version TDL3 von Backdoor.Tidserv. Hmm, wenn dem so ist, dann sollten sie das Rating bei dem Ding ändern.

Laut Symantec muss sich der Rootkit Autor schämen, dass er einen solchen Fehler gemacht hat:

“In conclusion, it seems that no matter how complex and stealthy a threat may be, it may be given away by such a small thing as a software update. This should be a lesson for the authors that developed the rootkit—but more importantly for the victims that fell for the back door.”

Siehe: http://www.symantec.com/connect/blogs/tidserv-and-ms10-015

Das gilt auch für die anderen Fälle, also wo kein Rootkit mit im Spiel ist, also Software (Apllikationen bzw. Treiber im Kernelmode), die auf hardcodierte Adressen setzen: zurück auf die Schulbank. Und Anwender, die das Rootkit haben: froh sein (und das mein ich jetzt wirklich so), dass der Bluescreen gekommen ist. Die hätten sonst in 100 Jahren nicht bemerkt, dass ihr Rechner nicht mehr der ihre ist,… und vielleicht eine der Grundregeln beachten:

  • Keine Software aus dubiosen Quellen einspielen
  • Nicht als Administrator arbeiten (vgl. keiner unter Unix/Linux würde permanent als Root arbeiten)
  • Windows Update (automatisch!) – und auch 3rd Party Software patchen (Acrobat, Flash, Firefox…)
  • Windows Firewall
  • Virenscan

Weitere Quellen:

 

Comments (4) -

>

2/15/2010 5:00:02 PM#

"Sofort sind “Spezialisten” am Werk, die feststellen, dass “man Updates NIE automatisch einspielen” soll, denn da weiß man ja nie, was dann ist,… dazu ein anderes Mal mehr."

Soweit ich weiss, sagt man das aber nicht, weil das System nachher nicht mehr startet, sondern weil durch das automatische Update private Daten an Microsoft gesendet werden.

BobDeutschland | Reply

>
>

2/15/2010 5:01:51 PM#

Was ja noch dümmer ist.

Georg BinderAustria | Reply

>
>
>

2/15/2010 8:10:36 PM#

technet.microsoft.com/.../cc780490%28WS.10%29.aspx

Welche Art von Informationen wird während des Updateprozesses an Microsoft gesendet?

* Fabrikat und Modell des Computers
* Versionsnummer von Windows
* Versionsnummer von Internet Explorer
* Versionsnummern anderer Microsoft-Software, für die möglicherweise Updates zur Verfügung stehen
* Plug & Play-Kennungen der Hardwaregeräte
* Einstellung für Region und Sprache
* Globale eindeutige Kennung (Globally Unique Identifier, GUID)
* Produktkennung und Product Key
* Name, Revisionsnummer und Revisionsdatum des BIOS

PaulDeutschland | Reply

>

2/26/2010 8:31:54 PM#

Hmmm, wenn häufig die atapi.sys Ursache für Bluescreens nach Updates ist dann könnte MS das ja verhindern indem vor dem Update der Hash der atapi.sys gecheckt wird und ggf. eine saubere Datei installiert wird. Ggf. eben auch mit Benutzerabfrage. Oder man könnte bei Updates die in Verbindung mit Rootkits gefährlich sind erst installieren lassen nachdem das aktuelle monatliche "bösartige Software removal tool" durchgelaufen ist... Möglichkeiten gäbe es viele....

Markus HiebaumAustria | Reply

Pingbacks and trackbacks (3)+

>

2/15/2010 5:37:39 PM#

Pingback from winboard.org

Sicherheitspatch legt Windows-XP-Systeme lahm - Seite 2 - WinBoard - Die Windows Community

winboard.org | Reply

>

2/16/2010 12:16:43 PM#

Pingback from forumla.de

⇒  Update KB977165 sorgt für Bluescreens @ PC-Forum

forumla.de | Reply

>

3/15/2010 11:08:54 PM#

Pingback from freesoft-board.to

WinXP -  Win XP nach letztem Update - Freesoft-Board

freesoft-board.to | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies