venerdì 2 aprile 2010

Aggiornamento Windows a rischio: il rootkit TDSS


Tutti sanno dell'importanza di tenere sempre aggiornato il sistema operativo installando le varie patch rilasciate da Microsoft: in questo modo è possibile migliorare le funzionalità di Windows, ma soprattutto si correggono tutti quegli errori che potrebbero mettere a rischio la stabilità e la sicurezza del sistema. E' stata quindi una brutta sorpresa quella che hanno avuto migliaia di utenti nel mondo, dopo aver installato i consueti aggiornamenti rilasciati da Microsoft lo scorso secondo martedi di febbraio. Le 13 patch descritte nel bollettino di sicurezza MS10-015 avrebbero dovuto risolvere 26 vulnerabilità ed invece hanno avuto la conseguenza di bloccare il PC mostrando a video una "schermata blu della morte" (BSOD, Blue Screen Of Death), cioè un messaggio d'errore che ha impedito l'accesso al sistema. Il problema, discusso in questo thread del forum Microsoft Answers, è stato inizialmente imputato ad un bug dell'update, ma secondo le analisi di un ricercatore di Symantec, Mirceau Ciubotariu, in molti casi il crash è stato causato da un malware appartenente alla categoria dei rootkit. Analisi più attente hanno quindi dimostrato che il malware conosciuto con il nome di TDSS (ma anche TDL3 o Tidserv) è incompatibile con la patch KB977165.


Il motivo di tale incompatibilità è da ricercare nel funzionamento stesso del rootkit, creato per infettare un driver del sistema operativo gestito dalla libreria tdlcms.dll e filtrare l'accesso al disco rigido in lettura e scrittura. TDSS è inoltre in grado di monitorare la chiave di registro relativa al driver infetto impedendone ogni modifica. Caratteristiche, queste, che gli hanno permesso di nascondersi agli antivirus a agli antirootkit. Inoltre,  i suoi creatori, provvedono ad aggiornare continuamente i dropper del rootkit, cioè i file infetti che permettono l'infezione, permettendogli così di aggirare il controllo antivirale. Questo malware ha funzionato senza problemi fino al rilascio dell'aggiornamento Microsoft, il cui scopo è quello di apportare alcune modifiche al kernel di Windows. L'installazione della patch, quindi, non fa altro che andare in contrasto con i "piani" del virus e generare la schermata di errore in quanto al riavvio il rootkit cerca di caricare indirizzi di memoria non validi. I creatori di TDSS hanno già rilasciato una variante aggiornata del loro rootkit compatibile con la patch rilasciata da Microsoft. Gli utenti già rimasti vittime del rootkit, possono risolvere il problema seguendo questa procedura, nella speranza di non dover ricorrere alla formattazione dell'hard disk. Nel caso in cui all'avvio del computer compare una schermata blu di errore e non c'è verso di accedere al sistema operativo, l'unica alternativa alla formattazione è il ricorso alla Console di ripristino accessibile direttamente dal disco originale di Windows e disinstallare l'aggiornamento KB977165.

Nessun commento:

Posta un commento