Rootkit okozza az XP-s kék halálokat

Összeakad a patch egy kártevővel

A múlt héten, február 9-én kiadott biztonsági frissítések közül az egyik kék halállal járó rendszerösszeomlást okozott egyes Windows XP gépeken, amelyek ezt követően képtelenek elindulni, még csökkentett módban sem. A Microsoft a fórumokon felbukkanó bejelentések hatására vizsgálatokat kezdeményezett, és az előzetes eredmények alapján úgy tűnik, hogy a frissítés egy rosszindulatú kóddal akad össze, és ez magyarázza az esetek legalábbis nagyobb részét.

Az érintett frissítés az MS10-015 jelölést viseli, és a a 32 bites Windowsokban található virtuális DOS gép, az NTVDM sebezhetőségét orvosolja. A három hete napvilágra került sebezhetőséget az okozza,hogy az NTVDM bizonyos kivételeket rosszul kezel, így a támadó az NTVDM-en keresztül kernelmódhoz juthat és megemelheti a kód jogosultsági szintjét. A támadás feltételezi a felhasználói szintű hozzáférést a rendszerhez. Ez az összetevő nincs a 64 bites telepítésekben, és amennyiben nincs szükségünk 16 bites futtatási lehetőségre, kikapcsolható a 32 bites változatokban is, így nem minden esetben szükséges a frissítés telepítése.

A Microsoft szerint bár az esetek elszigeteltek, a probléma jelentőségét sejteti, hogy a cég csütörtökön, február 11-én fel is függesztette az MS10-015 terjesztését a Windows Update-en keresztül, ugyanakkor a WIndows Server Update és System Management Server disztribúciókban megmaradt, hogy a vállalati felhasználók saját maguk dönthessék el, mihez kezdenek az üggyel.

A Microsoft egyelőre azt sem zárja ki, hogy más okok is közrejátszhatnak a rendszerösszeomlásokban. A vállalat számos memórialenyomatot megvizsgált, és egyes esetekben a helyszínre is kiszállt a probléma kivizsgálásához, így jutott az előzetes következtetésre. A vizsgálatokat folytatja, és a napokban várható végleges, hivatalos állásfoglalás.

A vállalat azt javasolja, hogy a felhasználók végezzenek víruskeresési ellenőrzést egy friss vírusölő szoftverrel, és amennyiben nem rendelkeznek ilyennel, használják a Microsoft ingyenes online (Internet Explorer) és letölthető eszközeit (magyar lokalizációval sajnos nem érhető el). Vizsgálatai során a Microsoft megbizonyosodott róla, hogy a kártevő eltávolításával az érintett XP-k újra bootolhatóvá váltak.  Amennyiben ez vagy a detektálás nem vezet sikerre, javasolt egy Windows XP telepítő CD-vel (Recovery Console) megjavítani a rendszert, vagy egy korábbi mentett állapotra visszaállni. Amennyiben ez sem sikerül, valószínűleg újra kell telepíteni a Windowst.

A TDSS rootkit

A támadó kód típusával kapcsolatban egyelőre nem nyilatkozik a Microsoft. Független biztonsági szakértők szerint azonban egy rootkitről van szó, amely a TDSS (Rootkit.Win32.TDSS)  családba tartozik, és a lemezműveleteket kezelő driverbe épül be, mint például az atapi.sys. A fertőzött driver (.sys fájl)  lecserélésével jó eséllyel újra bootolhatóvá válik a fertőzött  XP rendszer. Ezt a helyreállító konzolon keresztül is megtehetjük a megfelelő parancsok beütésével, amelyet jobbra láthatunk. A Kaspersky dedikált TDSS-eltávolítóval is rendelkezik, amely képes kiirtani a rendszerből a rootkitet.

A TDSS a driver első 824 bájtját átírva lép működése. Ennek során nem változik meg a fájl mérete, így a rootkitek után kutató szoftverek ez alapján nem veszik észre a változást. A driverbe épülve a rootkit szűri az I/O műveleteit, így védeni tudja magát és a kívánt fájlokat bármilyen kiolvasás elől. Ezt az alapot felhasználva az I/O-manipulációval saját binárisokat injektál azokba a folyamatokba, amelyek meghívják a kernel32.dll-t, és azok felhasználói szinten futnak. Ez a lehetőség a Vista és 7 platformokat is érinti.

A rootkitek olyan programok, amelyek az operációs rendszer alacsony szintű mechanizmusaiba, rendszer API-jaiba épülnek be, és elrejtik magukat nemcsak a felhasználó, de a szokásos vírusvédelmi eszközök elől is. A támadó célja, hogy észrevétlenül használhassa a gépet, beleértve az információ kinyerését és az erőforrásokat is, vagyis zombivá teszi, és egy hálózat tagjaként szolgálja a bűnözők céljait.