..:: Dippelschisser ::..

Das FBI betreibt laut einer Mitteilung von Heise die DNS-Server für die vom DNSChangerbot betroffenen Anwender über den 9. März hinaus. Bisher war der 9. März als Abschalttermin mitgeteilt wurden.

Wie jetzt bekannt wurde, wird der Betrieb bis zum 9. Juli fortgesetzt. Anwender die vom DNS Changer betroffen sind, finden man auf  der Webseite des FBI Informationen zur Entfernung des Schädlings.

Ob Ihr Computer / Netzwerk vom DNS Changer betroffen ist, können sie unter http://www.dns-ok.de prüfen. Sollte Ihr System betroffen sein, wird dies auf der Seite die von der Deutschen Telekom AG in Zusammenarbeit mit dem BSI betrieben wird, angezeigt. Ebenfalls wird unter http://www.dnschanger.eu/ ein erweiterter Prüfdienst angeboten.

Da staunt man schon nicht schlecht. Wie gerade auf heise.de zu lesen ist, hat Microsoft einen Security Patch mehrere Wochen zurückgehalten, da dieser bei vielen Windows Computern für einen Bluescreen sorgte.

Ursache für den Bluescreen ist das Alureon-Rootkit, welches sich nach Aussagen von Microsoft tief ins System einnistet, durch vielen Virenscanner nicht erkannt wird und feste API Adressen für den Zugriff auf Systemkomponenten verwenden.

Das Alureon-Rootkit infizierte wichtige Systemtreiber. Durch das neue Update von Microsoft ändern sich die von diesem Rootkit verwendenten (bereitgestellen) API-Adressen. Da es sich bei den infizierten Treibern nicht mehr um die Originalen handelt, kann das Windows-Update diese nicht mehr austauschen.

Folge war ein Bluescreen und das System musste aufwendig wieder hergestellt werden. Nun hat Microsoft das Update derart angepasst, dass es abbricht und einen Fehler anzeigt, sofern das Rootkit erkannt wird.

Die Fehlermeldungen:

Error Code 0×8007F0F4 (For Windows XP, Windows Server 2000 and Windows Server 2003)

Error Code 0XFFFFFFFF (For Windows Vista, Windows Server 2008 and Windows 7)

Solltet Ihr bei der Instatallation des Updates MS010-015 obige Fehlermeldungen erhalten, dann bitte umgehend das System mit einer Live-CD prüfen und das Rootkit entfernen (lassen). Meist hilft hier aber nur noch eine Neuinstallation. Letztere ist bei einmal infizierten Systemen eh zu empfehlen.

Wer sein Tool im Voraus testen möchte, der kann das vom Redmonder Unternehmen bereitgestellte Tool verwenden.

Aber schon lustig, wie eine Malware ein Unternehmen wie Microsoft dazu brachte ein Security Update für Windows von der Verteilung zurückziehen und mehrere Woche für eine Änderung des Patches zu benötigen.