Aggiornamento Microsoft MS10-015 causa schermata blu? Colpa di un malware

È stata una sorpresa inattesa quella che molti utenti si sono ritrovati dopo il consueto ciclo di aggiornamenti di sicurezza che Microsoft ha rilasciato la scorsa settimana. 13 Patch per risolvere 26 vulnerabilità, tra le quali una quasi maggiorenne, presente in Windows sin dal 1993. Ed è proprio questa patch, descritta nel bollettino ufficiale Microsoft MS10-015, che sembra aver causato dei grattacapi non indifferenti per molti utenti, i quali al riavvio del sistema hanno ritrovato ad attenderli una schermata blu di errore. Risultato: Windows non più utilizzabile. Almeno apparentemente.

A quanto sembra, tuttavia, il problema questa volta non sarebbe imputabile a Microsoft, bensì ad un malware che - silenziosamente - si starebbe diffondendo su internet senza che le società di sicurezza intervengano in maniera adeguata. L'allarme per il rootkit in questione era stato lanciato già da Novembre scorso da parte di alcune società di sicurezza quali la russa Dr.Web o la britannica Prevx, le quali avevano avvertito della grave minaccia presente in molti falsi siti web che diffondono crack e keygen, ma amante anche delle reti peer to peer.

Il rootkit, spiega Marco Giuliani, Prevx Malware Technology Specialist, è in grado di infettare uno specifico driver di sistema e di filtrare in maniera così efficace l'I/O del disco fisso da risultare impossibile per la gran parte dei software di sicurezza leggere il disco al di sotto di questo meccanismo di filtraggio. Il risultato è che il rootkit è in grado di agire in modo totalmente indisturbato.

"Il team alle spalle del rootkit sta lavorando costantemente per migliorare la propria creatura. In questi mesi non si sono mai fermati, continuando ad aggiornarlo ogni giorno – in alcuni casi anche più volte al giorno – e in modo da evitare ogni individuazione tramite signature generiche" spiega Giuliani in un articolo presente nel proprio blog personale e, contemporaneamente, nel blog della Prevx.

Tutto in maniera silenziosa, fino a quando Microsoft ha rilasciato la scorsa settimana l'aggiornamento denominato KB977165, incompatibile con il rootkit. I pc infetti, al riavvio post-aggiornamento, non sono più ripartiti. Jerry Bryant, portavoce Microsoft, ha fatto sapere che, dopo alcune indagini interne, la società avrebbe collegato il problema del crash ad un'infezione attiva nel sistema.

Prevx, in una nota nel blog della società, conferma la tesi e spiega che la causa è da ricercarsi in una scrittura del codice del rootkit non troppo accurata. "Quando il dropper viene eseguito, l’infezione calcola gli offset RVA di alcune funzioni del kernel di Windows e ingloba questi offset nel codice dell’infezione, senza verificarli ad ogni avvio del sistema" riporta Giuliani.

L'aggiornamento di Microsoft, tuttavia, ha modificato il kernel di Windows, causando una modifica degli offset. Il rootkit, al successivo riavvio, tenta così di invocare delle funzioni a degli indirizzi non validi, causando il crash del sistema. Chi si ritrova a dover lottare con uno schermo blu al riavvio del sistema dopo che ha effettuato gli ultimi aggiornamenti Microsoft, può tentare di effettuare un ripristino dei driver di sistema attraverso la console di ripristino presente nel CD di installazione di Windows. Una procedura tuttavia molto complessa, che potrebbe compromettere irrimediabilmente il sistema se non effettuata da persone esperte.

A quanto sembra, tuttavia, il supporto tecnico del team alle spalle del rootkit è così efficiente da aver rilasciato, in un breve lasso di tempo, un aggiornamento per il proprio rootkit in modo da renderlo compatibile con la nuova patch di Microsoft. "Le forze di polizia internazionali dovrebbero prendere in seria considerazione l’idea di collaborare con le società di sicurezza per tentare di bloccare questa botnet. Il team alle sue spalle è attivo, rilascia aggiornamenti ogni giorno e costituisce una seria minaccia che deve essere bloccata il prima possibile" conclude poi Giuliani.

L'infezione necessita dei diritti di amministratore per poter funzionare correttamente. Gli utenti che utilizzano un account limitato o l'UAC di Microsoft - se non hanno confermato volutamente i permessi di amministratore attraverso la schermata di avviso dello UAC - sono protetti dal rootkit.

Per maggiori informazioni è possibile leggere l'articolo completo in italiano a questo indirizzo: http://www.pcalsicuro.com/main/2010/02/bsod-dopo-ms10-015-tdl3-rootkit-si-scusa. In alternativa, lo si può trovare anche nel blog della società in lingua inglese: http://www.prevx.com/blog/143/BSOD-after-MS-TDL-authors-apologize.html.