Rootkit, Bluescreen und automatische Updates

Ei, was haben sich da die Basher wieder gefreut. Nach dem automatischen Sicherheitsupdate MS10-015 (siehe KB977165) wirft XP einen blauen Bildschirm.

image_359

Sofort sind “Spezialisten” am Werk, die feststellen, dass “man Updates NIE automatisch einspielen” soll, denn da weiß man ja nie, was dann ist,… dazu ein anderes Mal mehr.

Auf den ersten Blick, durchaus nachvollziehbar, wenn ein Patch das System plötzlich nicht mehr startfähig zurücklässt, dann kann das sehr ärgerlich werden. Doch wenn man ein wenig weiterforscht, dann wird es wieder lustig.

Der Bluescreen wird nämlich in vielen Fällen (wobei viel relativ ist, wenn von 300(?) Millionen Windows Benutzern vielleicht 200 betroffen sind,… oder sollen es 20.000 sein, auch egal) – also in vielen Fällen ist mitnichten das Update daran schuld sondern: ein Rootkit.

Damit ist der Bluescreen also kein Bug des Updates, sondern ein Sicherheits-Feature :) Die infizierte Datei ist dabei zumeist die atapi.sys, die eine Sprungadresse enthält, die nach dem Update nicht mehr funktioniert – das Rootkit ist also inkompatibel geworden, der Bluescreen zeigt das an. Update und Rootkit haben sonst miteinander nichts zu tun, d.h. vermutlich wäre bei JEDEM Kernelupdate der Bluescreen gekommen.

Laut Symantec handelt es sich bei dem Rootkit um die aktuelle Version TDL3 von Backdoor.Tidserv. Hmm, wenn dem so ist, dann sollten sie das Rating bei dem Ding ändern.

Laut Symantec muss sich der Rootkit Autor schämen, dass er einen solchen Fehler gemacht hat:

“In conclusion, it seems that no matter how complex and stealthy a threat may be, it may be given away by such a small thing as a software update. This should be a lesson for the authors that developed the rootkit—but more importantly for the victims that fell for the back door.”

Siehe: http://www.symantec.com/connect/blogs/tidserv-and-ms10-015

Das gilt auch für die anderen Fälle, also wo kein Rootkit mit im Spiel ist, also Software (Apllikationen bzw. Treiber im Kernelmode), die auf hardcodierte Adressen setzen: zurück auf die Schulbank. Und Anwender, die das Rootkit haben: froh sein (und das mein ich jetzt wirklich so), dass der Bluescreen gekommen ist. Die hätten sonst in 100 Jahren nicht bemerkt, dass ihr Rechner nicht mehr der ihre ist,… und vielleicht eine der Grundregeln beachten:

  • Keine Software aus dubiosen Quellen einspielen
  • Nicht als Administrator arbeiten (vgl. keiner unter Unix/Linux würde permanent als Root arbeiten)
  • Windows Update (automatisch!) – und auch 3rd Party Software patchen (Acrobat, Flash, Firefox…)
  • Windows Firewall
  • Virenscan

Weitere Quellen:

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s