Vi ricordate della patch (MS10-015) che a febbraio fu causa di numerose lamentele tra gli utenti? In quell’occasione, alcuni utenti di Windows XP segnalarono la comparsa di una schermata blu (BSoD; Blue Screen of Death) che di fatto impediva il corretto avvio del sistema operativo. In realtà, come fu successivamente appurato, il problema non era di Microsoft bensì era riconducibile alla presenza di un rootkit sul sistema. Poiché l’aggiornamento si occupava di sistemare alcune vulnerabilità insite nel kernel di Windows, sulle macchine ove era presente un rootkit quest’ultimo, non accorgendosi della variazione apportata al “cuore” del sistema operativo, provocava la comparsa della schermata blu. Tra l’altro, gli autori del rootkit si attivarono pressoché immediatamente per risolvere il problema dei crash. Non c’è peggiore controindicazione per chi sviluppa malware di questo tipo, di generare crash di sistema: un rootkit, per definizione, è infatti un elemento maligno che pone in essere strategie aventi come obiettivo quello di impedire o rendere estremamente difficoltoso il rilevamento del codice dannoso da parte di applicazioni per la sicurezza.
Per tutte le informazioni su quanto accaduto due mesi fa, suggeriamo di fare riferimento a queste precedenti notizie.
Con l’obiettivo di scongiurare spiacevoli situazioni come quelle sperimentate a febbraio, questo mese Microsoft ha deciso di integrare, nel caso della patch MS10-021 appena rilasciata, lo stesso algoritmo aggiunto nella seconda versione dell’aggiornamento MS10-015. Non appena si tenterà di installare l’update MS10-021, quindi, il meccanismo di aggiornamento provvederà a verificare alcuni aspetti che sono di solito sintomo della presenza di un’infezione sul sistema in uso. Nel caso in cui dovesse essere rilevata la presenza di un rootkit, la patch MS10-021 non verrà installata dal momento che anch’essa, come la MS10-015, effettua modifiche sul kernel del sistema operativo.
Qualora su Windows XP, Windows Server 2000 e Windows Server 2003, l’aggiornamento MS10-021 si rifiutasse di installarsi visualizzando il codice di errore 0x8007F0F4
, il messaggio dovrà essere considerato come spia della presenza di un malware. Su Windows 7, Windows Vista e Windows Server 2008, il codice visualizzato è solitamente 0xFFFFFFFF
.
In questi frangenti è sempre bene operare immediatamente una scansione utilizzando i tanti strumenti anti-rootkit rilasciati gratuitamente dai vari produttori di software antivirus ed antimalware (eccone alcuni: Avira AntiRootkit; F-Secure Blacklight; Panda Anti-Rootkit; Sophos Anti-Rootkit; GMER).