Całkiem niedawno firma Microsoft wydała łatkę KB977165 czyli  MS10-015, która usuwa dość starą podatność w jednej z bibliotek, niestety eksploitowaną przez wiele złośliwego oprogramowania. Malware (głównie jest to rootkit TDSS i jego klony) modyfikuje m.in. plik atapi.sys. Po instalacji łatki z Redmond, podstawiającej nową wersję tego pliku, system się nie uruchamia poprawnie (występuje błąd STOP czyli słynny BSOD).

Wynika to stąd, że złośliwe oprogramowanie modyfikuje kilka plików systemowych. Aktualizacja i związana z nią podmiana jednego z nich na nowy, sprawny, powoduje załamanie Windows po restarcie.

O poruszenie tego problemu poprosił mnie zaprzyjaźniony admin, który pracowicie czyścił firmowe komputery z jakiejś paskudnej odmiany trojana kradnącego informacje, tym razem nie był to pospolity ZeuS. Po dokładnym obejrzeniu systemu plików i korelacji zdarzeń z logami z zapory sieciowej doszedł do wniosku, że atak został przeprowadzony przez lukę w Internet Explorerze, pomimo sprawnego oprogramowania antywirusowego z aktualnymi sygnaturami. Za pomocą drive-by zainstalowało się bardzo dużo różnych dziwnych pasożytów, niektóre z nich zostały zablokowane przez AV, inne nie. Pomimo użycia różnych narzędzi, oczyszczenie Windows się nie powiodło, musiał odtworzyć kompletną instalację wszystkich zarażonych stacji roboczych od zera.

Niestety prognozy, które usłyszałem rok temu od Raimunda Genesa, CTO w Trend Micro, sprawdzają się w 100% – nowoczesne malware bywa tak paskudnie napisane, że nie zawsze opłaca się pracowite czyszczenie instalacji Windows, czasami jest to zbyt trudne. Trzeba odtworzyć stan systemu z kopii bezpieczeństwa, a następnie w izolowanym środowisku nałożyć wszystkie niezbędne aktualizacje. Dwóch moich rozmówców, inżynierów, specjalistów od środowiska Windows też zalecało tę metodę: użyć „złotego obrazu”, zaktualizować, uzupełnić, przywrócić dane.

Nie każde załamanie Windows jest winą systemu czy sterownika – czasami jest to efekt zarażenia systemu jakimiś śmieciami. Nie wiń zatem Microsoftu za wszystkie awarie  – gdy napotykasz na BSOD po aktualizacji lub interwencji antywirusa, sprawdź czy w Windows w Twojej firmie nie ma przypadkiem jakiejś kolekcji rootkitów. Statystyka podawana nieoficjalnie przez producentów AV i oficjalnie przez antiphishing.org jest nieubłagana – prawie połowa komputerów w USA jest zarażona złośliwym oprogramowaniem. Wersja Windows nie ma tu znaczenia, większość złośliwego oprogramowania działa zarówno w Windows 2000, jak i w siódemce. Oczywiście przoduje tutaj XP, co mnie akurat nie dziwi – jest to najpopularniejszy system operacyjny na desktopy.

Co ważniejsze – w przypadku wykrycia TDSS i podobnych rootkitów, nie należy wierzyć czyszczonemu systemowi, nawet jeśli antywirus z kompletem sygnatur pokazuje, że system jest „czysty”. TDSS jest wykorzystywany jako jeden ze składników, niektóre z nich są bardzo trudne do usunięcia. Dzisiejszych wirusów nie piszą amatorzy, jest to już w 100% działalność komercyjna, prowadzona przez gangi, które wiedzą, jak pogrywać sobie z dostawcami antywirusów. W przypadku firmy, jedynym rozsądnym wyjściem po wykryciu takich śmieci jest niestety reinstalacja systemu w izolowanym środowisku.

Nie można winić Microsoftu za to, że aktualizacja zniszczonego systemu powoduje BSOD. Można co najwyżej winić za opóźnienia w łataniu luk w bezpieczeństwie. Jeśli mnie pamięć nie myli, łatana właśnie luka miała 13 lat. Niemniej przy tym stopniu skomplikowania systemu operacyjnego (każdego!), można się spodziewać błędów.