Potrebbe essere un rootkit di difficile individuazione la causa dei crash che alcuni utenti di Windows XP hanno lamentato dopo l’applicazione della patch MS10-015 (ved. questa notizia).
Sebbene l’attività di indagine stia proseguendo, Microsoft avrebbe tratto una prima, non definitiva, conclusione: le schermate blu (Blue screen of death; BSOD), segnalate dopo l’installazione della recente patch MS10-015 su alcuni sistemi Windows XP, potrebbero essere causate dalla presenza di malware sulle macchine oggetto di aggiornamento. “Non escludiamo comunque nulla e stiamo continuando ad investigare“, ha aggiunto il portavoce dell’azienda Jerry Bryant che, in un messaggio pubblicato su Twitter, ha poi spiegato: “abbiamo già conferme di casi in cui la rimozione del malware ha consentito di riavviare regolarmente il sistema“.
Le prime indiscrezioni fanno riferimento alla presenza, sui sistemi ove è comparsa la schermata blu, del rootkit TDSS (ved., in proposito, questa notizia). TDSS è ben noto alle aziende attive nel campo della sicurezza informatica: il suo obiettivo consiste nell’assumere il totale controllo della macchina infettata utilizzandola come sistema “zombie” all’interno di “botnet”.
La comparsa della schermata blu è quindi riconducibile, con buona probabilità, a driver di sistemi infetti oppure a driver che si referenziano in modo non corretto alla versione del kernel aggiornata.
Kaspersky ha rilasciato uno strumento gratuito che si fa carico di rimuovere l’infezione provocata da TDSS: il software è prelevabile facendo riferimento a questa pagina.
Alcuni utenti infetti da TDSS hanno risolto il problema della schermata blu al boot del sistema avviando la “Console di ripristino” dal CD d’installazione di Windows XP (tasto “R”) e sostituendo il file atapi.sys
. Dopo aver premuto il tasto “R”, durante il caricamento della procedura d’installazione di Windows XP da CD ROM, la Console di ripristino potrebbe chiedere di selezionare su quale copia di Windows si desidera operare: è necessario indicare l’installazione di Windows che risulta danneggiata (ad esempio, “1”).
Digitando poi la password dell’account amministratore, verrà mostrato il prompt dei comandi della Console di ripristino.
Come primo passo, è necessario stabilire la lettera di unità associata al lettore CD ROM usando il comando map
.
Si potrà quindi inserire, in sequenza, i seguenti comandi (avendo cura di sostituire X:
con la lettera di unità abbinata al lettore CD contenente il supporto d’installazione di Windows XP):
cd system32drivers
ren atapi.sys atapi.old
expand X:i386atapi.sy_
Così facendo il file atapi.sys
verrà ricopiato dal CD d’installazione del sistema operativo e decompresso nella cartella system32drivers
. Al riavvio del sistema, si dovrà provvedere ad effettuare una scansione antimalware approfondita.