WinFuture-Forum.de: Kb977165 Bsod - Malware Als Ursache - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
Seite 1 von 1

Kb977165 Bsod - Malware Als Ursache


#1 Mitglied ist offline   Tiggz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 918
  • Beigetreten: 13. September 06
  • Reputation: 24
  • Geschlecht:unbekannt

geschrieben 12. Februar 2010 - 16:09

Betr.: Winfuture News

One of Microsoft’s “Patch Tuesday” security fixes is triggering a widespread “Blue Screen of Death” problem. The cause is not the update itself, but an existing infection. So far, reports suggest that this problem affects Windows XP and Windows Vista.
...
I have found that the root cause is an infection of %System32\drivers\atapi.sys, and that replacing this file with a clean version will get the system booting normally.

Quelle und weitere Infos: Klick
0

Anzeige



#2 Mitglied ist offline   Tiggz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 918
  • Beigetreten: 13. September 06
  • Reputation: 24
  • Geschlecht:unbekannt

geschrieben 13. Februar 2010 - 07:43

In our continuing investigation in to the restart issues related to MS10-015 that a limited number of customers are experiencing, we have determined that malware on the system can cause the behavior.

Weitere Infos: MSRC
0

#3 Mitglied ist offline   Internetkopfgeldjäger 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.718
  • Beigetreten: 29. Januar 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Interessen::-)

geschrieben 13. Februar 2010 - 10:44

Also mal ganz von der praktischen Seite aus betrachtet,
dürfte alles mal wieder mit dem Windows Standard Spruch abgefrühstückt werden können:

Zitat

Neuinstallation könnte ihr Problem beheben.

:rolleyes:

Vorausgesetzt diese Theorie mit dem Rootkit ist tatsächlich alleine zutreffend!
So wirklich beruhigend ist aber die desolate Gesamtsituation selbstverständlich nicht.
Es dürfte kaum für einen ruhigen und zufrieden Schlaf sorgen, dass Rootkits
so leicht unentdeckt in Windows eindringen und dort so lange unentdeckt
ihrem Treiben nachgehen, trotz allgemein verbreiteter "Sicherheitssoftware",
bis dann zufällig mal eine kleine Inkompatibilität durch Aktualisierungen auftritt,
die sich dann durch Nebenwirkungen bemerkbar macht.
0

#4 Mitglied ist offline   Tiggz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 918
  • Beigetreten: 13. September 06
  • Reputation: 24
  • Geschlecht:unbekannt

geschrieben 13. Februar 2010 - 10:59

Beitrag anzeigenZitat (Internetkopfgeldjäger: 13.02.2010, 10:44)

Also mal ganz von der praktischen Seite aus betrachtet,
dürfte alles mal wieder mit dem Windows Standard Spruch abgefrühstückt werden können:

Zitat

Neuinstallation könnte ihr Problem beheben.

Warum Neuinstallation? atapi.sys von der Installations-CD wiederherstellen dürfte ja nicht so schwer sein.

Beitrag anzeigenZitat (Internetkopfgeldjäger: 13.02.2010, 10:44)

Es dürfte kaum für einen ruhigen und zufrieden Schlaf sorgen, dass Rootkits
so leicht unentdeckt in Windows eindringen
und dort so lange unentdeckt
ihrem Treiben nachgehen, trotz allgemein verbreiteter "Sicherheitssoftware",
Die meiste Schadsoftware kommt durch Interaktion des Users auf den PC. Entweder weil alles wild angeklickt wird (z.B. Anhänge in Mails), durch Cracks/Keygens u.s.w. oder weil das System und die AV-Software nicht auf dem neusten Stand sind.

Dieser Beitrag wurde von Tiggz bearbeitet: 13. Februar 2010 - 11:00

0

#5 Mitglied ist offline   Internetkopfgeldjäger 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.718
  • Beigetreten: 29. Januar 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Interessen::-)

geschrieben 13. Februar 2010 - 11:33

Beitrag anzeigenZitat (Tiggz: 13.02.2010, 10:59)

Warum Neuinstallation? atapi.sys von der Installations-CD wiederherstellen dürfte ja nicht so schwer sein.


Ein kompromitiertes System ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,
ist nicht mehr vertrauenswürdig, ist nicht mehr vertrauenswürdig,

*PERIOD*

Das ist nun mal die goldene Sicherheitsregel. :rolleyes:
Dieser Meinung ist auch der Herr und Meister Microsoft:
http://technet.microsoft.com/de-de/library...28en-us%29.aspx

Ich bin deinen Links gefolgt
und bin darauf gestoßen, dass dieses zugrunde liegende Rootkit,
dass diesen Nebeneffekt erst jetzt hervorrufen soll,
sich ungefähr bereits seit dem Frühjahr letzten Jahres
an Verbreitung auf Windows Kisten erfreuen soll:
http://www.prevx.com/blog/120/MBR-rootkit-...ikes-again.html

Also ohne mindestens ein gründlches komplettes ausnullen der kompletten Festplatte,
inclusive dem MBR zum Beispiel mittels dd wären da nicht mal die elementarsten Sichereitsgrundregeln beachtet.
Möglicherweise muss auch beachtet werden, dass sich Schadsoftware
auch in andern Speichermedien verstecken kann, im BIOS zum Beispiel, oder sogar im
Flashspeicher moderner Tastaturen, hier zum Beispiel einmal ein Apfel Produkt im Visier:
http://www.heise.de/security/meldung/Apple...hen-749405.html
0

#6 Mitglied ist offline   Tiggz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 918
  • Beigetreten: 13. September 06
  • Reputation: 24
  • Geschlecht:unbekannt

geschrieben 13. Februar 2010 - 11:39

Beitrag anzeigenZitat (Internetkopfgeldjäger: 13.02.2010, 11:33)

Ein kompromitiertes System ist nicht mehr vertrauenswürdig,

Sicher, da stimme ich Dir zu - ich würde das System auch neu installieren. Einige User wollen aber vorher noch Daten sichern und dazu muß man erstmal das System starten können.
0

#7 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 13. Februar 2010 - 11:43

Die atapi.sys ist aber wirklich verseucht. Gerade mal gescannt die Datei: >>Klick<<

Und gerade der ach so beliebte Scanner von Avast erkennt da noch nicht einmal etwas.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#8 Mitglied ist offline   Internetkopfgeldjäger 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.718
  • Beigetreten: 29. Januar 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Interessen::-)

geschrieben 13. Februar 2010 - 12:10

Beitrag anzeigenZitat (Tiggz: 13.02.2010, 11:39)

Sicher, da stimme ich Dir zu - ich würde das System auch neu installieren. Einige User wollen aber vorher noch Daten sichern und dazu muß man erstmal das System starten können.


Nein, ich persönlich würde so ein kompromitiertes System nicht mehr starten wollen
und kann das auch niemandem wirklich empfehlen.

Ich würde ein "artfremdes" Betriebssystem verwenden, um die Übertragung
von Schadcode so weit wie irgend möglich zu erschweren, ja eine Live-CD, zum Beispiel
Linux basierend, böte sich bequemerweise da geradezu an. Dabei sollte aber nach Möglichkeit
keine ausführbaren Dateien auf das frisch aufzusetzende System übernommen werden.
Ein Dilemma zum Beispiel bei *.doc Dateien. Denn die können ja leider nicht nur Text enthalten,
sondern auch ausführbaren Code.
*.exe Dateien und ähnliches
aus dem kompromittiertem System zu übernehmen ist selbstverständlich sowieso tabu!


Ich sage das jetzt wirklich nicht gerne, aber falls es tatsächlich so sein sollte,
dass der hier besprochene Bluescreen,
der erst jetzt im Zusammenhang mit dem KB977165 auftrat, tatsächlich durch
eine verseuchte %System32\drivers\atapi.sys hervorgerufen würde,
dann ist zumindest dieser Windows Bluescreen das allerbeste,
was dem gemeinem Windows Kisten Benutzer überhaupt passieren konnte.

Ich sage da nur aus Spaß einfach mal happy online Banking :rolleyes:
in die Runde der interessierten Mitleser.
Über weitere Konsequenzen in Bezug auf Passworte usw. sollte im Falle der Betroffenheit
dann wohl auch nachgedacht und entsprechend konsequent gehandelt werden.

Das alles natürlich in der Annahme, dass es tatsächlich so wäre,
dass der Windows Bluescreen im Zusammenhang mit dem KB977165 tatsächlich
nur durch eine verseuchte %System32\drivers\atapi.sys hervorgerufen würde
und es tatsächlich auszuschließen wäre,
dass der Windows Bluescreen im Zusammenhang mit dem KB977165
nicht durch einen fehlerbehafteten Windows-Flicken hervorgerufen würde.

Dieser Beitrag wurde von Internetkopfgeldjäger bearbeitet: 13. Februar 2010 - 12:12

0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0