PC World Testy - pakiety zabezpieczające

Pod koniec ubiegłego tygodnia fora serwisów wsparcia technicznego Microsoftu wypełniły się postami użytkowników, skarżących się na występowanie ekranów BSOD w systemie Windows po zainstalowaniu ostatniej porcji patchy producenta. Według użytkowników problemy powodowała łata o oznaczeniu MS10-015.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Patch + rootkit = BSOD

Instalacja łaty MS10-015 w dowolnym systemie Windows zainfekowanym rootkitem, w tym Viście i 7, powodowała wyświetlenie niebieskiego ekranu błędu. Ubiegłotygodniowy incydent przedstawiono jako problem Windows XP, ponieważ przeważająca liczba zainfekowanych maszyn działała pod kontrolą tej właśnie wersji.

Koncern wstrzymał dystrybucję wspomnianej aktualizacji i zapowiedział zbadanie powyższych doniesień. Wynikiem tego była informacja na stronie Microsoft Security Response Center, w której Jerry Bryant, przedstawiciel firmy, winą za "ekrany śmierci" obciążył rootkit.

Tymczasem twórcy rootkita również nie próżnowali. Eksperci z firm Kaspersky i Symantec, cytowani przez portal computerworld.com, sugerują, że kod programu został zaktualizowany. Rootkit aktualizuje się nawiązując połączenie z serwerem i w nowej postaci nie wchodzi już w konflikt z Windows, czego efektem był ekran BSOD.

Jak poradzić sobie z "ekranem śmierci"

Na liście plików infekowanych przez rootkit TDSS/Tidserv/TDL3 infekuje znajduje się m.in. plik atapi.sys z katalogu %System32\drivers\, mający istotne znaczenie w procesie uruchamiania systemu. Aby uniknąć niekończącego się cyklu: restart-BSOD, Symantec radzi uruchomienie Windows z bezpiecznego źródła, np. płyty CD, zlokalizowanie zainfekowanej partycji (zwykle - systemowej) i zastąpienie zainfekowanego pliku atapi.sys "czystą" wersją z nośnika.

Z kolei firma Kaspersky udostępniła narzędzie, którego zadaniem jest odnalezienie i usunięcie rootkita.

Marc Fossi, reprezentujący Symanteka, zauważa, że "ekran śmierci" w ostatecznym rozrachunku na coś się przydał. Liczni użytkownicy, jacy się z nim zetknęli, dowiedzieli się o istnieniu niepożądanego oprogramowania w ich systemach.

Microsoft nie przywrócił jeszcze patcha MS10-015, można więc bezpiecznie pobierać pozostałe aktualizacje.

Rootkit to sprawka Rosjan

Jak ocenia Marcin Gabryszewski, specjalista ds. technologii antyrootkitowych w firmie ESET, cała rodzina rootkitów TDL pochodzi prawdopodobnie z Rosji. Rootkit wykorzystuje różne metody infekcji, ale głównie do użytkowników trafia wraz z nielegalnym oprogramowaniem. Są nim zarażone generatory kluczy, cracki i pliki instalacyjne dystrybuowane poprzez sieci p2p.

Ekspert ESET na pytanie, dlaczego autorzy rootkita zaktualizowali go, zamiast napisać nowy, odpowiada: Aktualizacja jest prostszym sposobem i większości przypadków wystarczającym. Efektem aktualizacji rootkita jest zwykle jego ponowna niewykrywalność. Warto jednak podkreślić, że nawet wykryty rootkit jest niebezpieczny, ponieważ wielu użytkowników nie jest w stanie go usunąć lub odtwarza go z zainfekowanych programów. Część osób ignoruje zagrożenie i dalej używa komputera podłączonego do internetu.

Zdaniem Gabryszewskiego najprostszym sposobem na zabezpieczenie się przed rootkitami jest oczywiście posiadanie najnowszej wersji programu antywirusowego. Każdy dobry program antywirusowy posiada w swoim silniku wyspecjalizowany kod do wykrywania rootkitów. Rozwiązania firmy ESET wyposażone są np. w technologię Anti-Stealth zwalczającą właśnie groźne rootkity - tłumaczy przedstawiciel firmy. Oczywiście istnieją również darmowe programy antyrootkitowe, ale wymagają one od użytkownika specjalistycznej wiedzy - dodaje.