Einen Bluescreen musste wohl leider jeder Windows-Nutzer schon einmal erleben – auch wenn aktuelle Versionen wie Windows 7 deutlich robuster sind als ihre Vorgänger. Die gefürchteten Abstürze sind oft ein Zeichen für einen Hardwaredefekt oder einen fehlerhaft programmierten Treiber. Allerdings nicht immer, wie unsere Kollegen vom Advanced Windows Debugging and Troubleshooting-Blog kürzlich feststellen konnten.

Unser Kollege vom Global Escalation Service erhielt dort eine Crash-Datei eines Windows-Servers zur Analyse. Der Rechner, von dem die Log-Datei stammte, stürzte immer wieder ab, der Bluescreen verwies dabei auf die Fehlermeldung Bugcheck 0xA (IRQL_NOT_LESS_OR_EQUAL). Während der Untersuchung (die höchst ausführlich im Blog erklärt ist), fand unser Kollege einen seltsamen Eintrag. Die für den Crash verantwortliche Stelle gab sich zwar als Hardware-Treiber aus, verhielt sich aber insgesamt seltsam. Eine genaue Analyse ergab, dass es sich nicht um einen Hardware-Fehler, sondern um Schadsoftware handelte, deren Entwickler offensichtlich ein Fehler beim Programmieren unterlaufen ist.

Im System-Dump konnte unser Kollege schließlich eine Installation des Trojaners Win32/Sirefef.B feststellen. Dieses bösartige Programm verbindet sich nach der Installation mit einem Master-Rechner und lädt weiteren Schadcode nach – es schafft einen Art Brückenkopf auf dem Rechner, über den die Kriminiellen weitere Angriffe starten können.

Der Vorfall zeigt zwei Dinge sehr schön: Zum einen sind die Virenschreiber offensichtlich nicht alle Profis, sondern ihnen unterlaufen Fehler, die den Nutzer auf ein ungewolltes Verhalten aufmerksam machen. Und nicht hinter jedem Bluescreen steckt ein Hardware-Fehler. In diesem konkreten Fall hätte wahrscheinlich der Einsatz eines alternativen Virenscanners den Fehler schnell behoben. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.