Niedawno pisaliśmy o poprawce KB977165 (biuletyn bezpieczeństwa MS10-015), po instalacji której zdarzało się, że wyświetlany był niebieski ekran STOP (BSOD). W związku z tym Microsoft wycofał poprawkę. Okazuje się jednak, że to nie aktualizacja systemu jest winna.
Powodem niebieskich ekranów jest rootkit, znany pod nazwą TDL3 lub też TDSS albo Tidserv. Od kilku miesięcy rozprzestrzenia się on w Internecie i infekuje duże liczby komputerów. Stosuje wiele sztuczek, które mają utrudnić jego wykrycie oraz usunięcie. Działa jako filtr i monitoruje wszystkie operacje plikowe jednocześnie nie pozwalając na uzyskanie dostępu do zainfekowanego pliku z którego jest uruchamiany. Jego autorzy aktualizują go bardzo często, nawet kilka razy dziennie. Nie znaczy to jednak, że przykładają się do jakości swojego wirusa, jeśli można o niej w ogóle mówić w przypadku złośliwego oprogramowania. Gdy Microsoft wydał biuletyn MS10-015 pojawiły się BSODy a użytkownicy szybko zrzucili winę na Microsoft. Okazało się jednak, że przyczyną była niekompatybilność wirusa ze zaktualizowanym systemem.
Podczas instalacji wirusa obliczany jest offset RVA pod którym rootkit może znaleźć pewną funkcją API jądra Windows. Gdy rootkit jest uruchamiany, może wykorzystać obliczony offset do wykonania tej funkcji. Poprawka Microsoftu wprowadziła jednak zmiany w jądrze i spowodowała, że zmienił się offset funkcji. W tej sytuacji rootkit posługiwał się nieprawidłowym offsetem i powodował BSOD. Autorzy wirusa szybko poprawili błąd i ilość niebieskich ekranów wywołanych przez niego zaczęła spadać. Nadal jednak zainfekowanych jest sporo komputerów a ich użytkownicy doświadczają skutków infekcji.
http://www.dobreprogramy.pl/
Download
