Rootkit blijkt oorzaak XP-vastloper

Het crashen van Windows XP na installatie van een securitypatch ligt aan een rootkit. De Microsoft-patch zit de infectie onbedoeld dwars.

De patch zelf is toch niet de directe oorzaak van het 'blue screen of death' waar sommige XP-gebruikers onder lijden na de installatie van een securitypatch. De getroffen systemen zijn namelijk vr de installatie van de patch besmet door de TDSS-rootkit. Dit heeft security-onderzoeker Patrick Barnes ontdekt.

Drivers en kernel
Barnes meldt dit ook in de nog altijd aanzwellende discussie op Microsofts Answers-forum. De infectie betreft in ieder geval het Windows-bestand atapi.sys, dat door online-scans wordt gedetecteerd, blogt Barnes. De Microsoft-patch voert wijzigingen door in de Windows-kernel, waar de malware vervolgens op vastloopt. Door de aard van een rootkit, dat zich verschuilt diep in het besturingssysteem, haalt dit het hele systeem onderuit.

Barnes waarschuwt nog dat er meer Windows-onderdelen besmet kunnen zijn. Andere genfecteerde drivers die aanhaken op de kernel - die door de patch is gewijzigd - kunnen ook voor vastlopers zorgen. Securityleverancier Symantec bevestigt deze theorie en noemt nog 5 andere .sys-bestanden die mogelijk besmet zijn.

Volledige malwarescan
Het advies is dan ook een volledige scan, door securitysoftware die ook rootkits kan opsporen. Dit dient te gebeuren vr de installatie van de vorige week uitgebrachte patch. Barnes verwijst naar de rootkit-cleaner van eSage Lab, die specifiek TDSS opspoort en opschoont.

De security-onderzoeker biedt op zijn blog instructies om de infectie te ruimen. Daarvoor is wel een Windows XP-installatie-cd nodig, om de oorspronkelijke atapi.sys te herstellen. Ook daarna is dus een volledige malwarescan nodig.

'Zakelijke' rootkit
De TDSS-rootkit waart al enige tijd rond. De derde variant daarvan is in november vorig jaar waargenomen en draagt bij aan de snelle verspreiding van deze 'rootkit-familie'. Deze malware is specifiek geschreven door cybercriminelen om samen met Trojans en backdoor-software pc's te kapen.

Vervolgens worden die ingezet als onderdeel van botnetten, waar de malwaremakers hun geld mee verdienen. Het gebruik van een rootkit moet detectie en opschoning nutteloos maken; de malware schuilt immers 'onder' het besturingssysteem zelf en de daarop draaiende securitysoftware.