Главной причиной того, что некоторые компьютеры под управлением Windows XP
перестали работать после установки
выпущенных в прошлый вторник компанией Microsoft патчей, мог оказаться
трудноопределяемый руткит.
На прошлой неделе пользователи
буквально завалили жалобами форумы техподдержки Windows, сетуя на то, что
после установки свежего набора обновлений их компьютеры перестали работать,
демонстрируя “синие экраны смерти” (BSOD). В четверг компания Microsoft отозвала
связанный с этой проблемой патч
MS10-015, и занялась расследованием инцидента.
Уже в пятницу было готово предварительное заключение, в котором эксперты
Microsoft
заявили, что в ненормальном поведении операционной системы может быть
виновато вредоносное ПО. В частности, представитель компании Джерри Брайант
подтвердил, что
удаление обнаруженного специалистами руткита позволяет загрузить неисправную
систему.
В свою очередь, Патрик Барнс, один из пользователей Windows XP, сообщил об
обнаружении взаимосвязи между “синим экраном смерти” и наличием в системе
опасного руткита
TDSS. Барнс пишет, что он обнаружил на машине неработающий файл atapi.sys.
Отправив его на анализ, Патрик получил ответ, что этот файл заражен руткитом
TDSS.
Барнс подчеркивает, что инфицированный файл atapi.sys является самой
распространенной причиной сбоя в работе операционной системы, однако к появлению
“синего экрана смерти” может привести любой драйвер, некорректным образом
ссылающийся на обновленные компоненты ядра Windows. Эксперт
разместил на своем блоге инструкции по восстановлению работоспособности
Windows XP, а “Лаборатория Касперского” выпустила
специальную утилиту, удаляющую TDSS.
Чтобы решить проблему, пользователям перед началом процедуры восстановления
необходимо удалить руткит с жесткого диска. Для этого нужно подключить его к
другому компьютеру и проверить на наличие заражения. В случае, если после
очистки файл atapi.sys будет удален, необходимо будет заменить его аналогичным
файлом той же версии с установочного диска или другой машины под управлением
Windows. После этого можно пробовать загружаться с диска или проводить
восстановление Windows.
По словам вирусного аналитика “Лаборатории Касперского” Роэля Шувенберга,
руткит TDSS использует весьма изощренные методы маскировки своей деятельности
внутри операционной системы, а потому большинство антивирусов не в состоянии
определить его наличие. Шувенберг подтвердил, что этот руткит действительно
является основной причиной появления BSOD, поскольку обновление MS10-015
заменяет компоненты ядра Windows, а TDSS как раз и является очень продвинутым
руткитом, работающим в режиме ядра. По мнению эксперта, проблема с новым патчем
от Microsoft выявила истинные масштабы его распространения.
