A seguito dell’installazione della  della patch MS10-015 (KB977165) attraverso la funzionalità “Aggiornamenti automatici”, dopo alcune ore erano apparse alcune lamentele a seguito di continue schermate blu (BSOD), rilevate in alcuni sistemi Windows Xp.

L’aggiornamento era reso necessario per risolvere alcune vulnerabilità (di cui avevo già parlato qui) nella “Virtual DOS Machine” (VMD), introdotta in Windows nel lontano 1993.

La società di Redmond ha confermato le segnalazioni pervenute e a seguito di alcune analisi, confermate da varie società di sicurezza, sembra che la causa, o almeno una concausa, è la presenza di un particolare rootkit: il TDSS.

Il portavoce dell’azienda Jerry Bryant in un messaggio pubblicato su Twitter, ha poi spiegato: “abbiamo già conferme di casi in cui la rimozione del malware ha consentito di riavviare regolarmente il sistema”.

Il rootkit in generale è un particolare malware che riesce a nascondersi agli occhi del sistema: il suo scopo d’altronde è questo.

In particolare questo rookit, giunto alla sua 3 versione, riesce ad inserirsi a livello di Kernel, rendensi cosi totalmente invisibile al sistema e ai software antivirus.

Marco Giuliani, Tecnico della Prevx, spiega in un suo articolo il suo funzionamento:

Il rootkit si diffonde attraverso siti di crack o attraverso le reti peer to peer. I file che compongono l’infezione vengono scritti negli ultimi settori del disco rigido, fuori dal file system del sistema, rendendosi cosi quasi invisibile al sistema.

Nono solo: il rootkit crittografa i suoi componenti ancora prima che vengono scritti sul disco rigido. La conseguenza è che leggendo gli ultimi settori del disco rigido ci si trova davanti solo dei byte casuali apparentemente senza senso, perché crittografati.

Il rootkit di fatto prende possesso di alcuni driver legittimi del sistema (crea un driver che è uguale come dimensione a quello originale, cosi da rendersi invisibile anche a software antirootkit): in particolare in molti pc il driver incriminato era atapy.sys, che è praticamente uno dei driver che vengono caricati per primi per l’avvio di windows, ancora prima che tutti gli altri driver di sistema e anche quelli dei programmi di sicurezza si avviano, rendendosi cosi invisibile.

Da puntualizzare che,come spesso capita, i prodotti di sicurezza ben poco possono fare nel momento in cui si avvia un file a rischio malware (specialemte se poi, nonostante indicazioni di software  o la comparsa di UAC, si consenta l’avvio del file).

Ritornando al problema BSOD, in pratica questo errore è dato da questi driver infetti, che non combaciano più con quelli legittimi, mandando in crash il sistema quando si procede all’aggiornamento.

Windows al momento ha fermato la distribuzione di questa patch, intanto diversi vendor hanno pubblicato appositi strumenti per la rimozione di questo rootkit: come kasperky

Da sottolineare che seppur alcuni antivirus riescono ad individuare il file generato dell’infezione, una volta che questa è già attiva, questa infezione non viene più rilevata.

Il rootkit sembra infettare anche altri driver di sistema:

atapi.sys
iaStor.sys
nvstor32.sys
nvata.sys
nvstor.sys
nvgts.sys
nvatabus.sys
iaStorV.sys
ahcix86s.sys
viamraid.sys
lsi_scsi.sys
vmscsi.sys
IdeChnDr.sys
jraid.sys
si3112r.sys
lsi_sas.sys
ahcix86.sys
si3112.sys
viasraid.sys
nvrd32.sys
fasttx2k.sys
nvraid.sys
SiSRaid.sys
adpu160m.sys
nvidesm.sys
UlSata.sys
Si3114r5.sys
vsmraid.sys
iteraid.sys
ftsata2.sys
adpu320.sys
iteatapi.sys
Fasttrak.sys

Se siete affetti da questo problema, la soluzione è quella di avviare la console di ripristino di Windows e inserire i seguenti comandi:

cd system32\drivers
ren atapi.sys atapi.old
expand X:\i386\atapi.sy_

Riporto solo il driver atapy, perchè sembra che sia questo in particolare ad aver generato il crash.

Per coloro che non hanno invece riscontrato questo problema, ovvero per chi possiede Vista o Windows 7, l’infezione è in qualche modo rilevabile da un piccolo segnale (in realtà comune anche ad altri malware): in particolare il rootkit prende il possesso del pc, rendendolo un pc zombie, e causa una redirezione casuale durante la navigazione web verso siti web malevoli, determinando una aggravamento dell’infezione.

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.