Aggiornamento Microsoft MS10-015 causa schermata blu? Colpa di un malware

Aggiornamento Microsoft MS10-015 causa schermata blu? Colpa di un malware

Alla base della temuta schermata blu, apparsa ad alcuni utenti in seguito all'aggiornamento di sicurezza Microsoft, ci sarebbe un malware

di Alessandro Bordin pubblicata il , alle 14:20 nel canale Sicurezza
Microsoft
 

È stata una sorpresa inattesa quella che molti utenti si sono ritrovati dopo il consueto ciclo di aggiornamenti di sicurezza che Microsoft ha rilasciato la scorsa settimana. 13 Patch per risolvere 26 vulnerabilità, tra le quali una quasi maggiorenne, presente in Windows sin dal 1993. Ed è proprio questa patch, descritta nel bollettino ufficiale Microsoft MS10-015, che sembra aver causato dei grattacapi non indifferenti per molti utenti, i quali al riavvio del sistema hanno ritrovato ad attenderli una schermata blu di errore. Risultato: Windows non più utilizzabile. Almeno apparentemente.

A quanto sembra, tuttavia, il problema questa volta non sarebbe imputabile a Microsoft, bensì ad un malware che - silenziosamente - si starebbe diffondendo su internet senza che le società di sicurezza intervengano in maniera adeguata. L'allarme per il rootkit in questione era stato lanciato già da Novembre scorso da parte di alcune società di sicurezza quali la russa Dr.Web o la britannica Prevx, le quali avevano avvertito della grave minaccia presente in molti falsi siti web che diffondono crack e keygen, ma amante anche delle reti peer to peer.

Il rootkit, spiega Marco Giuliani, Prevx Malware Technology Specialist, è in grado di infettare uno specifico driver di sistema e di filtrare in maniera così efficace l'I/O del disco fisso da risultare impossibile per la gran parte dei software di sicurezza leggere il disco al di sotto di questo meccanismo di filtraggio. Il risultato è che il rootkit è in grado di agire in modo totalmente indisturbato.

"Il team alle spalle del rootkit sta lavorando costantemente per migliorare la propria creatura. In questi mesi non si sono mai fermati, continuando ad aggiornarlo ogni giorno – in alcuni casi anche più volte al giorno – e in modo da evitare ogni individuazione tramite signature generiche" spiega Giuliani in un articolo presente nel proprio blog personale e, contemporaneamente, nel blog della Prevx.

Tutto in maniera silenziosa, fino a quando Microsoft ha rilasciato la scorsa settimana l'aggiornamento denominato KB977165, incompatibile con il rootkit. I pc infetti, al riavvio post-aggiornamento, non sono più ripartiti. Jerry Bryant, portavoce Microsoft, ha fatto sapere che, dopo alcune indagini interne, la società avrebbe collegato il problema del crash ad un'infezione attiva nel sistema.

Prevx, in una nota nel blog della società, conferma la tesi e spiega che la causa è da ricercarsi in una scrittura del codice del rootkit non troppo accurata. "Quando il dropper viene eseguito, l’infezione calcola gli offset RVA di alcune funzioni del kernel di Windows e ingloba questi offset nel codice dell’infezione, senza verificarli ad ogni avvio del sistema" riporta Giuliani.

L'aggiornamento di Microsoft, tuttavia, ha modificato il kernel di Windows, causando una modifica degli offset. Il rootkit, al successivo riavvio, tenta così di invocare delle funzioni a degli indirizzi non validi, causando il crash del sistema. Chi si ritrova a dover lottare con uno schermo blu al riavvio del sistema dopo che ha effettuato gli ultimi aggiornamenti Microsoft, può tentare di effettuare un ripristino dei driver di sistema attraverso la console di ripristino presente nel CD di installazione di Windows. Una procedura tuttavia molto complessa, che potrebbe compromettere irrimediabilmente il sistema se non effettuata da persone esperte.

A quanto sembra, tuttavia, il supporto tecnico del team alle spalle del rootkit è così efficiente da aver rilasciato, in un breve lasso di tempo, un aggiornamento per il proprio rootkit in modo da renderlo compatibile con la nuova patch di Microsoft. "Le forze di polizia internazionali dovrebbero prendere in seria considerazione l’idea di collaborare con le società di sicurezza per tentare di bloccare questa botnet. Il team alle sue spalle è attivo, rilascia aggiornamenti ogni giorno e costituisce una seria minaccia che deve essere bloccata il prima possibile" conclude poi Giuliani.

L'infezione necessita dei diritti di amministratore per poter funzionare correttamente. Gli utenti che utilizzano un account limitato o l'UAC di Microsoft - se non hanno confermato volutamente i permessi di amministratore attraverso la schermata di avviso dello UAC - sono protetti dal rootkit.

Per maggiori informazioni è possibile leggere l'articolo completo in italiano a questo indirizzo: http://www.pcalsicuro.com/main/2010/02/bsod-dopo-ms10-015-tdl3-rootkit-si-scusa. In alternativa, lo si può trovare anche nel blog della società in lingua inglese: http://www.prevx.com/blog/143/BSOD-after-MS-TDL-authors-apologize.html.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

37 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
II ARROWS17 Febbraio 2010, 14:37 #1
Ma lo scopo di questo virus?

Mi sembra un lavoro troppo laborioso per non aver un guadagno diretto...
Rikiji17 Febbraio 2010, 14:38 #2
Gli autori del rootkit sono così gentili da patchare i loro zombie per evitare fastidi agli utenti
maxdgr17 Febbraio 2010, 14:41 #3
in genere sottraggono dati sensibili..tipo i codici del tuo home banking
supereos117 Febbraio 2010, 14:58 #4
mah, il tutto si traduce come una lotta ap P2P, una berlursconata informatica insomma! Ma se uscirà la patch faranno pagare il 10% di tassa per i diritti d'autore?
PhoEniX-VooDoo17 Febbraio 2010, 15:03 #5
ma non ho capito, il vermello di prende tramite l'exe di un crack/file o "automaticamente" ?
VegetaSSJ517 Febbraio 2010, 15:07 #6
questa volta è proprio il caso di dire che la schermata blu "is not a bug, is a feature"!
falcon7617 Febbraio 2010, 15:09 #7
Bello sapere che con tutti gli antivirus e aggiornamenti di sicurezza fatti finora, questi sono sempre riusciti a fregare tutti. Almeno cosi' sembra.
Fa' anche piacere sapere che come al solito e' stato fatto un beta test a tappeto, in modo da evitare malfunzionamenti agli utenti......
Scezzy17 Febbraio 2010, 15:15 #8
Falcon76,

ma scusami un attimo. Hanno scritto che la schermata blu colpisce chi e' virato. Ovvio che durante la fase di beta test dell'aggiornamento non si sia riprodotto il problema. Si presuppone che il test venga fatto su computer senza virus. Gia' quelli di microsoft sono impediti a fare software decente su macchine non infette, se devono fare software decente che giri anche su macchine infette, muoiono tutti entro pochi mesi.

avatar197717 Febbraio 2010, 15:26 #9
SOLUZIONE DELLA "NONNA".

Windows non piu aggiornato . Utilizzato solo per le applicazioni.(tra l'altro ormai pienamente rimpiazzate in Ubuntu).
Si naviga con Linux. Qualche lieve bug ma computer sempre ok e non più pericolo di perdita di dati o l'odiosa schermata piu.

Masamune17 Febbraio 2010, 15:26 #10
ma una bella patchina x massacrare il rootkit, visto che è già conosciuto?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^