Зловред погорел из-за планового апдейта

«Синий экран смерти», появившийся на некоторых ПК после установки последних обновлений для Windows, помог выявить присутствие руткита семейства TDSS.

Как оказалось, третье поколение этих серьезных зловредов (в классификации ЛК Rootkit.Win32.TDSS), представители которого были обнаружены на пострадавших компьютерах, конфликтует с одним из тринадцати патчей, разосланных Microsoft на прошлой неделе.

Руткит TDSS/TDL3 работает на уровне ядра: внедряется в системный драйвер Windows и создает собственную виртуальную файловую систему, в которой прячет основной код. Для маскировки своего присутствия он перехватывает системные функции (Windows API), отыскивая их по разнице между виртуальным и базовым адресами (RVA), которую вычислил в процессе инсталляции.

После установки на зараженный компьютер патча MS10-015 RVA-адреса поменялись. При перезапуске Windows адрес, запрошенный руткитом, оказался неправильным, и эта ошибка привела к зависанию системы и появлению BSoD — «синего экрана смерти» (Blue Screen of Death). Исправить положение можно, устранив зловреда. Для этого следует заменить зараженный драйвер чистой копией. Вероятнее всего, это будет atapi.sys, хотя возможны и другие варианты. Можно пролечить систему с помощью специальной утилиты — такой, как TDSSKiller, разработанная в ЛК.

Microsoft проводит собственное расследование, но пока не нашла других причин, которые могли бы вызвать аналогичный сбой. По словам экспертов, зловред поразил только ОС Win32, включая Vista и Windows 7. Дело, видимо, в том, что в 64-битных версиях систем MS используются дополнительные технологии, позволяющие усилить защиту ядра. Патч MS10-015 изъят из службы Windows Update до окончания расследования.

В лагере противника инцидент с «синим экраном» тоже не прошел незамеченным. За несколько часов авторы TDL3 обновили билд, и зловреду уже не страшна установка MS10-015. По свидетельству Symantec, им пришлось для этого даже отключить большинство своих ботов. Компонент режима пользователя теперь называется не tdlcmd.dll, а z00clicker.dll. Новая версия распространяется так же быстро и теми же методами — через торренты и варез-сайты.

Эксперты английской компании Prevx, которые с особым вниманием отслеживают эволюцию TDSS, отмечают, что вирусописатели трудятся над своим детищем не покладая рук. Последние несколько месяцев обновления выпускались ежедневно, иногда даже несколько раз в сутки.