Digital.it
Attacco crackerMicrosoft Store India, grave attacco cracker
Internet Explorer 9Microsoft, 9 patch per San Valentino
Google WalletGoogle Wallet, spunta una seconda vulnerabilità
Google WalletGoogle Wallet: il PIN è vulnerabile
QR code per la pagina originale
news_e9f6492402341a2d.jpg

Windows, un rootkit ne impedisce il riavvio

Microsoft ha segnalato come un rootkit denominato "TDL3/TDSS " possa entrare in conflitto con l'installazione della patch MS10-015 generando una schermata blu che impedisce il riavvio del sistema. La distribuzione automatica della patch è stata sospesa

Microsoft ha segnalato come l’installazione di una delle ultime patch rilasciate dal gruuppo potrebbe rivelarsi un autentico dramma informatico per una piccola parte di utenti. Il problema, però, non è insito nella patch, ma piuttosto in altre problematiche che determinano l’impossibilità di riavvio del sistema dopo l’installazione della patch stessa.

La patch sotto accusa è la MS10-015 rilasciata in occasione dell’ultima tornata di aggiornamenti Microsoft del mese di Febbraio. Il problema riscontrato è nell’impossibilità del riavvio del sistema dopo l’installazione dell’aggiornamento: l’utente si trova a dover fronteggiare la famigerata “schermata blu” di errore e non ha dunque la possibilità di accedere correttamente alle proprie risorse. Il problema può verificarsi su Windows 2000, Windows XP, Windows Vista, Windows Server 2008 e Windows 7 32bit (le versioni di Windows coinvolte dalla vulnerabilità, scoperta e segnalata peraltro da Tavis Ormandy dei laboratori Google).

Microsoft ha segnalato la presenza del problema fin dalle prime ore dopo l’aggiornamento ed ha immediatamente spiegato come il problema fosse da ricercarsi altrove. Il gruppo ha comunque attuato immediate precauzioni per impedire agli utenti di incappare nel problema: la distribuzione automatica della patch (giudicata «importante») è stata temporaneamente sospesa e le indagini di approfondimento sono immediatamente iniziate.

In breve il vero problema è stato identificato in un malware. Trattasi nella fattispecie di un rootkit denominato “TDL3/TDSS”, originariamente descritto da Marco Giuliani per Prevx. La rimozione del malware risolve l’intoppo, evita la schermata blu e permette la corretta installazione della patch con conseguente riavvio privo di problematiche. La “Blu Screen Of Death” è originata dal richiamo in avvio di un indirizzo da parte del rootkit, indirizzo che è stato precedente modificato dalla patch al kernel determinando pertanto l’errore ed il blocco dell’avvio del sistema.

Incredibilmente, come segnalato ancora da Giuliani, poche ore dopo la segnalazione dell’incompatibilità tra il rootkit e la patch, l’update è giunto dagli autori del malware i quali hanno aggiornato il codice del rootkit rendendolo a questo punto compatibile con la patch Microsoft. La schermata blu, infatti, è di per sé un danno per gli scopi del malware poiché mette in evidenza l’infezione e costringe l’utente ad una obbligata analisi del sistema alla ricerca del file maligno da eliminare. Prevx segnala infine la diffusione di una nuova versione del rootkit (identificabile nel file z00clicker.dll piuttosto che nel precedente tdlcmd.dll) e mette a disposizione il proprio supporto tecnico per quanti identificassero l’infezione utilizzando i prodotti del gruppo.

In questa fase Microsoft consiglia giocoforza l’installazione della patch al fine di porre rimedio alla vulnerabilità identificata a livello di kernel di Windows. Quanti non intendono installare manualmente l’update numero 15, però, hanno a disposizione un workaround descritto nell’apposito advisory KB979682, nel quale è altresì disponibile un semplice “FixIt” con il quale porre rimedio temporaneo alla falla in attesa di una delle due soluzioni definitive disponibili: un aggiornamento della patch da parte di Microsoft per dribblare il problema o un controllo della salubrità del sistema per verificare la presenza di eventuali infezioni.

Se vuoi aggiornamenti su Windows, un rootkit ne impedisce il riavvio inserisci la tua e-mail nel box qui sotto:

  • Paguro

    Un sistema che negli ultimi anni va vanti a toppe, cambia il nome ma la sostanza è sempre la stessa.

  • dab

    E quale sarebbe il SO “perfetto”, che non ha bugs e non rilascia fix per correggerli?

  • fiber

    vedi Dab ,Paguro nn si chiede come mai la gente ha il rootkit sul sistema,ovvero perche’ nn tiene aggiornato windows disabilitando Aervizio Aggiornamenti Automatici (sovente perche’ ha windows piratato) e nn tiene aggiornati i plug-ins del browser che se con vulnerabilita’ possono essere sfruttate sul web solo navigando un sito ..tutto questo per non far autoinstallare malware come anche un rootkit ad es…..

    …lui condanna senza sapere il perche’ accadono le cose alla gente..

    in effetti questo Paguro dovrebbe lavorare come sistemista..risoverebbe lui tutti i problemi sentenziando sapere sapere niente :-):-)

  • utente MS

    Si paga una quantita’ consistente di denaro, anche se indirettamente all’acquisto dei computer con Windows, per avere un sistema operativo continuamente a rischio:instabilita’, furto di dati sensibili, ed anche, come in questo caso, blocchi totali.
    Suggerirei, con la modestia di uno dei tanti utenti di Windows,tre azioni da parte di Microsoft: 1) rendere il piu’ agevole possibile la reintallazione di Windows dopo la formattazione: 2) intraprendere azioni giudiziarie contro le organizzazioni che immettono in rete virus e malware vari allo scopo di danneggiare in vario modo gli utenti Microsoft, anche promuovendo delle class action per i propri clienti. Altrimenti dov’e’ la tanto sbandierata legalita’? 4) Microsoft dovrebbe integrare efficaci antivirus e antimalware nel proprio sistema operativo, il cui costo sarebbe ammortizzato dal ricavo della vendita del sistema stesso, con eventualmente un piccolo contributo da parte dell’utente, chi meglio dei proprietari avrebbe interesse a mantenere integro il proprio prodotto e meglio sarebbe in grado di proteggerlo?.

  • fiber

    aspetta che sia Osx ad avere il 93% di mercato mondiale poi ti lamenterai sul perche’ gli hacker andranno a rompere sempre i maroni su Osx per colpire piu’ user niubbi possibili nelmondo che nn tengono il sistema ed i plug-ins del browser aggiornati..

    poi tutti passeranno a Linux e ti lamenterai che il nuovo colto in causa ad aver addosso l’attenzione degli Hacker per far diffondere malware anche tramite Social Engineering sara’ Linux (cerca cos’e’ il Social Engineering su Google se nn lo sapessi)

    o credi che questi altri 2 Sistemi Operativi nn hanno falle??

    se credi a queste FAVOLE guardati i security fix di questi altri 2 sistemi( bollettini da guerra soprattutto OSX da Leopard a Snorw Leopard ) sui rispettivi siti ..poi rifletti e pensi meglio

    un saluto

  • hexaae

    Non diciamo sciocchezze, da Vista in poi con UAC e separazione netta fra utenti e amministratori il sistema è MOLTO SICURO. Il problema è che poi c’è gente che disattiva certe funzionalità “perché danno fastidio”… robe da ridere.
    Il rootkit in discussione non è possibile “contrarlo” con tutte le sicurezze attive (senza conferme da parte dell’utente) e usando ad esempio IE7-8 in Modalità Protetta.

  • Fiber

    da ultime info si e’ scoperto che rootkit lo ha preso solochi scarica crack & keygen farlocchi/spacciati ( che poi sono invece installer di malware) dal p2p (Torrent