A Microsofthoz érkező bejelentésekből és az internetes fórumokon található bejegyzésekből a fejlesztők viszonylag hamar leszűrték azt a következtetést, hogy az MS10-015-ös közleményhez tartozó frissítések körül kell keresni a probléma okát. Biztos, ami biztos a cég csütörtökön átmenetileg eltávolította a weboldalairól, illetve az automatikus frissítési funkciók által használt szerverekről a frissítéshez tartozó - Windows XP kompatibilis - állományokat, nehogy azok még nagyobb gondot okozzanak.

Az eddigi vizsgálatok arra engednek következtetni, hogy nem magával a hibajavítással van a probléma. Jerry Bryant, a Microsoft szóvivője szerint nagy valószínűséggel a mostani, kék halállal járó hiba "csak" olyan számítógépeken jelentkezik, amelyek valamilyen kártékony programmal korábban megfertőződtek. A Microsoftnál egyelőre nem találtak más kiváltó okot. A cég hangsúlyozta, hogy még vizsgálja a problémát, és "a hiba a felhasználóknak csak egy korlátozott számát érinti".

Miután kiderült, hogy kártékony kódok is közrejátszhatnak a nemkívánatos eseményekben, a biztonsági cégek is nekiláttak az elemzőmunkának. Többek közötti egyes felhasználói visszajelzésekre alapozva egyre biztosabban jelenthető ki, hogy a kék halál mögött ezúttal egy TDSS nevű rootkit áll, amely az érintett rendszereken az atapi.sys fájlt fertőzte meg. Mivel ezt az állományt is érintette a Microsoft keddi frissítése, ezért a hibajavítások végül nem várt problémát idézhetnek elő.

Egyes internetes fórumokon lehet olvasni néhány lehetséges megoldást arra az esetre is, ha a frissítés már megtörtént, és a számítógép nem indul újra. Ilyenkor a Microsoft frissítésének parancssorból (hibajavító konzolból) történő eltávolítása átmenetileg segíthet.

A TDSS rootkit

A frissítéssel kapcsolatban felmerült hibajelenségekkel foglalkozó szakemberek a felhasználóknak azt javasolják, hogy a frissítések telepítése előtt győződjenek meg arról, hogy a rendszerük nem fertőzött. Amennyiben kiderül, hogy a TDSS jelen van egy PC-n, és a víruskereső nem képes eltávolítani a károkozót, akkor a merevlemez másik gépben történő megtisztítására lehet szükség. Schouwenberg szerint, amennyiben az atapi.sys fájlt el kell távolítani a lemezről, akkor az a Windows telepítőjéről vagy egy másik - hasonló verziójú - Windows XP operációs rendszerről helyreállítható. Amennyiben ezek a lépések nem vezetnek eredményre, akkor a Windows telepítőjéről való javítás lehet a megoldás.

Független biztonsági szakértők szerint azonban egy rootkitről van szó, amely a TDSS (Rootkit.Win32.TDSS)  családba tartozik, és a lemezműveleteket kezelő driverbe épül be, mint például az atapi.sys. A fertőzött driver (.sys fájl)  lecserélésével jó eséllyel újra bootolhatóvá válik a fertőzött  XP rendszer. Ezt a helyreállító konzolon keresztül is megtehetjük a megfelelő parancsok beütésével, amelyet lentebb, kék betűkkel láthatunk.

A Kaspersky dedikált TDSS-eltávolítóval is rendelkezik, amely képes kiirtani a rendszerből a rootkitet. Roel Schouwenberg, a cég egyik víruskutatója elmondta, hogy a TDSS nagyon kifinomult technikák segítségével képes elrejteni a saját kódjait a számítógépeken, ezért az antivírus alkalmazásoknak sincs könnyű dolguk, hogy felismerjék azt.

A TDSS a driver első 824 bájtját átírva lép működése. Ennek során nem változik meg a fájl mérete, így a rootkitek után kutató szoftverek ez alapján nem veszik észre a változást. A driverbe épülve a rootkit szűri az I/O műveleteit, így védeni tudja magát és a kívánt fájlokat bármilyen kiolvasás elől. Ezt az alapot felhasználva az I/O-manipulációval saját binárisokat injektál azokba a folyamatokba, amelyek meghívják a kernel32.dll-t, és azok felhasználói szinten futnak. Ez a lehetőség a Vista és 7 platformokat is érinti.

A rootkitek olyan programok, amelyek az operációs rendszer alacsony szintű mechanizmusaiba, rendszer API-jaiba épülnek be, és elrejtik magukat nemcsak a felhasználó, de a szokásos vírusvédelmi eszközök elől is. A támadó célja, hogy észrevétlenül használhassa a gépet, beleértve az információ kinyerését és az erőforrásokat is, vagyis zombivá teszi, és egy hálózat tagjaként szolgálja a bűnözők céljait.

Régebbi hír - NTVDM hiba, jogosultság, 16 bites folyamatok ... (jan. 21.):

(forrás: biztonsagportal.hu, hwsw.hu)