Update Microsoft, un rootkit la causa dei crash
Topic
Approfondimenti
Trending
tutti

Update Microsoft, un rootkit la causa dei crash

Symantec afferma che le schermate blu sperimentate da alcuni utenti di Windows XP dopo il recente aggiornamento di sicurezza MS10-015 sono spesso causate da un rootkit
Sicurezza Antivirus
Symantec afferma che le schermate blu sperimentate da alcuni utenti di Windows XP dopo il recente aggiornamento di sicurezza MS10-015 sono spesso causate da un rootkit

Da diversi giorni il recente aggiornamento di sicurezza MS10-015 , distribuito da Microsoft all’inizio della scorsa settimana, è finito nella lista nera delle patch per “aver messo fuori uso” certi sistemi con Windows XP. Il problema, discusso in questo thread del forum Microsoft Answers , è stato inizialmente imputato ad un bug dell’update, ma secondo le analisi di un ricercatore di Symantec, Mirceau Ciubotariu, in molti casi il crash è causato da un malware appartenente alla categoria dei rootkit.

L’aggiornamento incluso nel bollettino di sicurezza MS10-015 risolve alcune vulnerabilità “importanti” nel kernel di Windows. Alcuni utenti hanno segnalato come, al riavvio successivo all’applicazione della patch, Windows andasse in errore mostrando il famigerato blue screen of death (BSOD) e causando il riavvio del sistema (qualora il PC non venisse spento, entrerebbe in un ciclo infinito di riavvii). L’utente non è più in grado di accedere a Windows neppure in modalità provvisoria: l’unico modo per risolvere la situazione è avviare Windows dal DVD, lanciare la console di ripristino d’emergenza e disinstallare l’aggiornamento.

Secondo Ciubotariu, il problema si verifica principalmente – ma non esclusivamente – sui PC infetti dal rootkit Tidserv , che si annida nei driver a basso livello del kernel, come atapi.sys , per rendersi invisibile agli antivirus. Tidserv utilizza dei relative virtual addresse ( RVA ) che l’aggiornamento MS010-015 va a modificare: ciò fa sì, dopo l’installazione della patch, che il rootkit faccia riferimento ad un indirizzo non valido, causando un page fault e, di conseguenza, un BSOD.

Ciubotariu precisa che anche altri driver di basso livello potrebbero contenere al loro interno dei RVA, ma egli ritiene che al momento attuale la più comune causa del problema sia Tidserv.

Dal momento che questo rootkit va ad infettare driver fondamentali per il funzionamento del sistema come quello che gestisce gli hard disk e i drive ottici, Windows non può essere riavviato neppure in modalità provvisoria.

Symantec avvisa che disinstallare la patch di Microsoft non può essere considerata una soluzione a lungo termine, visto che il rootkit rimane al suo posto: l’azienda suggerisce pertanto di utilizzare la console di ripristino per sostituire il drive infetto con uno “sano”. Questa è però un’operazione consigliata esclusivamente agli utenti esperti.

Alessandro Del Rosso

Pubblicato il 16 feb 2010

Link copiato negli appunti

Ti potrebbe interessare

Microsoft cura Windows e Office

Microsoft cura Windows e Office
Spyware: cosa sono e come rimuoverli

Spyware: cosa sono e come rimuoverli
Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)

Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)
Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)

Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)
Microsoft cura Windows e Office

Microsoft cura Windows e Office
Spyware: cosa sono e come rimuoverli

Spyware: cosa sono e come rimuoverli
Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)

Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)
Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)

Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)
Alessandro Del Rosso
Pubblicato il
16 feb 2010
Link copiato negli appunti