Security Bulletin MS10-015 - KB977165

[PCDpan_fee]

Lücke im MSDOS-Subsystem gestopft!

Wurde im Patchday vom 09.02.2010 Behoben.
Microsoft Security Bulletin MS10-015 - (977165)
Veröffentlicht: 09.02.2010 | Aktualisiert: 10.02.2010
Download: hier

12.02.2010: Laut Heise Online führt das Update bei einigen Usern zu Bluescreen. Eine Lösung bietet Heise Online in 6 Schritten gleich mit an.

Microsoft empfiehlt stattdessen, das "Microsoft Fix it Tool" (649 KB) zum provisorischen Schließen der Lücke, zu benutzen - "Enable this fix" (50364), für Windows 2000 SP4, Windows XP SP2/SP3, Windows 2003 SP1/SP2 (32-/64-Bit), Windows Vista SP1, Windows 2008 SP2, und Windows 7.

13.02.2010: Mittlerweile soll aber bekannt sein, dass NUR mit Malware befallene Systeme betroffen sind. Somit wäre die "Heise Online"-Meldung ein Fauxpas.

Am 14.02.2010 bestätigst Heise Online, dass das Zusammenwirken des Sicherheitspatches MS10-015 mit Schadsoftware der Grund ist.

15.02.2010: Nach Analysen von Symantec dürfte das Rootkit mit Backdoor Tidserv (TDSServ.sys) für viele der aktuell auftretenden Bluescreens verantwortlich sein, berichtet heute Heise Online.
Tidserv infiziert laut Symantec Low-Level-Kerneltreiber, wie den IDE-Treiber atapi.sys, um sich in das System einzuklinken und zu verstecken. Neben dem Treiber atapi.sys kann Tidserv auch anderen Treiber infiziert haben, etwa iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys.



pan_fee
_{WinTotal Tipparchiv}

[Freudi]

KB977165 wird seit 02.03.2010 auch wieder in jeder Konfiguration über AutoUpdate verteilt, gibt aber bei potenziell befallenen Systemen einen speziellen Fehlercode beim Installationsversuch zurück. Zusätzlich gibt es ein "Kernel Update Compatibility Assessment Tool", mit dem im Vorfeld geprüft werden kann, ob das System möglicherweise befallen ist. Siehe auch http://patch-info.de/artikel/2010/02/09/783 für Windows XP bzw. http://patch-info.de/artikel/2010/02/09/775 für Windows 7.

Bye,
Freudi

[PCDpan_fee]

Update:
02.03.2010 Microsoft stellt ein Tool namens Microsoft Fix it 50378 zur Verfügung, um zu Überprüfen, ob das System für den Security Bulletin MS10-015 (977165) Patch tauglich ist. Wenn der Computer möglicherweise nicht mit dem Sicherheitspatch kompatibel ist, empfiehlt dieses Tool auf dieser Webseite mehrere Malware/Viren-Entfernungstools an, wie "Microsoft Security Essentials", "Free PC Safety-Scan" für Windows XP, Windows Vista und Windows 7, "Microsoft Malicious Software Removal Tool" und "Security Updates" von Microsoft Update.

Das "Kernel Update Compatibility Assessment" Tool (KB980966) macht genau das, was auch das Microsoft Fix it 50378 Tool macht.

Quelle: http://support.microsoft.com/kb/980966/

Microsoft Fix it 50378







Das Tool Microsoft Fix it 50378 hinterlässt ein Verzeichnis %appdata%\fixit, was bedenkenlos gelöscht werden kann mit dem Inhalt MpSysChk.exe

oder Kernel Update Compatibility Assessment Tool KB980966 [MpSysChk.exe]
Shell-Befehle in der Run_mpsyscheck.Sample.cmd.txt Datei