Alessandro Del Rosso

Update Microsoft, un rootkit la causa dei crash

Symantec afferma che le schermate blu sperimentate da alcuni utenti di Windows XP dopo il recente aggiornamento di sicurezza MS10-015 sono spesso causate da un rootkit

Roma - Da diversi giorni il recente aggiornamento di sicurezza MS10-015, distribuito da Microsoft all'inizio della scorsa settimana, è finito nella lista nera delle patch per "aver messo fuori uso" certi sistemi con Windows XP. Il problema, discusso in questo thread del forum Microsoft Answers, è stato inizialmente imputato ad un bug dell'update, ma secondo le analisi di un ricercatore di Symantec, Mirceau Ciubotariu, in molti casi il crash è causato da un malware appartenente alla categoria dei rootkit.

L'aggiornamento incluso nel bollettino di sicurezza MS10-015 risolve alcune vulnerabilità "importanti" nel kernel di Windows. Alcuni utenti hanno segnalato come, al riavvio successivo all'applicazione della patch, Windows andasse in errore mostrando il famigerato blue screen of death (BSOD) e causando il riavvio del sistema (qualora il PC non venisse spento, entrerebbe in un ciclo infinito di riavvii). L'utente non è più in grado di accedere a Windows neppure in modalità provvisoria: l'unico modo per risolvere la situazione è avviare Windows dal DVD, lanciare la console di ripristino d'emergenza e disinstallare l'aggiornamento.

Secondo Ciubotariu, il problema si verifica principalmente - ma non esclusivamente - sui PC infetti dal rootkit Tidserv, che si annida nei driver a basso livello del kernel, come atapi.sys, per rendersi invisibile agli antivirus. Tidserv utilizza dei relative virtual addresse (RVA) che l'aggiornamento MS010-015 va a modificare: ciò fa sì, dopo l'installazione della patch, che il rootkit faccia riferimento ad un indirizzo non valido, causando un page fault e, di conseguenza, un BSOD.
Ciubotariu precisa che anche altri driver di basso livello potrebbero contenere al loro interno dei RVA, ma egli ritiene che al momento attuale la più comune causa del problema sia Tidserv.

Dal momento che questo rootkit va ad infettare driver fondamentali per il funzionamento del sistema come quello che gestisce gli hard disk e i drive ottici, Windows non può essere riavviato neppure in modalità provvisoria.

Symantec avvisa che disinstallare la patch di Microsoft non può essere considerata una soluzione a lungo termine, visto che il rootkit rimane al suo posto: l'azienda suggerisce pertanto di utilizzare la console di ripristino per sostituire il drive infetto con uno "sano". Questa è però un'operazione consigliata esclusivamente agli utenti esperti.

Alessandro Del Rosso
Notizie collegate
  • SicurezzaMicrosoft cura Windows e OfficeBigM ha pubblicato 13 bollettini di sicurezza che correggono un totale di 26 vulnerabilitÓ relative a Windows e Office. Rilasciato anche un workaround per il noto problema di sicurezza relativo ai protocolli TLS e SSL
110 Commenti alla Notizia Update Microsoft, un rootkit la causa dei crash
Ordina
  • Cavolo, e io che credevo mi fosse partito l'hard disk...
    non+autenticato
  • non troppo convincente la storia del root-kit.
    a parte il fatto che se tale fosse il problema avrebbero dovuto immediatamente rilasciare un root-kit cleaner magari nel malware remover del mese, e non lasciare gli utenti con lo schermo blu e magari neanche il cd di ripristino, visto spesso uno deve crearselo da solo, e magari qualcuno non capisce che deve davvero farlo, e subito...

    Non avevo dato il reboot dopo l'aggiornamento, ho potuto toglierlo subito senza rischiare. Ma faccio notare che togliendo l'aggiornamento si e' subito coperti di messaggi minacciosi tipo "se togli questo aggiornamento avrai instabilita per tutti gli altri aggiornamenti e i virus ti colpiranno". sarebbe bene che dicessero che tali minacce non esistono, quando consigliano di toglierlo, no? scarsa serieta'.
    mannaggia a me che continuo con windows per comodita'..
    non+autenticato
  • - Scritto da: rudy
    > non troppo convincente la storia del root-kit.
    > a parte il fatto che se tale fosse il problema
    > avrebbero dovuto immediatamente rilasciare un
    > root-kit cleaner magari nel malware remover del
    > mese, e non lasciare gli utenti con lo schermo
    > blu e magari neanche il cd di ripristino, visto
    > spesso uno deve crearselo da solo, e magari
    > qualcuno non capisce che deve davvero farlo, e
    > subito...
    >

    Non è facile eliminare/individuare un rootkit; ad oggi anche i migliori antivirus non riescono in maniera certa a determinare se su un PC è presente un rootkit. Basti pensare che nel famoso caso Sony solo Russinovich è stato in grado di capire cosa realmente fosse successo:
    http://blogs.technet.com/markrussinovich/archive/2...

    Chi conosce Russinovich e un po' della sua storia sa cosa ciò significhi...


    > Non avevo dato il reboot dopo l'aggiornamento, ho
    > potuto toglierlo subito senza rischiare. Ma
    > faccio notare che togliendo l'aggiornamento si e'
    > subito coperti di messaggi minacciosi tipo "se
    > togli questo aggiornamento avrai instabilita per
    > tutti gli altri aggiornamenti e i virus ti
    > colpiranno". sarebbe bene che dicessero che tali
    > minacce non esistono, quando consigliano di
    > toglierlo, no? scarsa
    > serieta'.

    I messaggi intimidatori sono normale routine in modo che chi non sa ciò che fa evita di fare ancora più casino!

    > mannaggia a me che continuo con windows per
    > comodita'..

    Linux attualmente ha ben altri problemi e tutti infinitamente più stressanti di quelli di Windows; anche i virus arriveranno se passerà mai anche solo il 10% di share non temere.

    Passa a Linux, prova, ma poi non dire "Uau (TM) me lo aveva detto" Occhiolino
    Oppure, se hai soldi da buttare, passa a Mac: avrai un PC mediocre, però "figo" e blindato: può essere accettabile, dipende dalle tue esigenze.
  • - Scritto da: Uau (TM)

    > Linux attualmente ha ben altri problemi e tutti
    > infinitamente più stressanti di quelli di
    > Windows; anche i virus arriveranno se passerà mai
    > anche solo il 10% di share non
    > temere.
    >
    > Passa a Linux, prova, ma poi non dire "Uau (TM)
    > me lo aveva detto"
    > Occhiolino
    > Oppure, se hai soldi da buttare, passa a Mac:
    > avrai un PC mediocre, però "figo" e blindato: può
    > essere accettabile, dipende dalle tue
    > esigenze.

    Linux ha anche problemi di rootkit: http://www.linuxfeed.org/linux/proteggersi-dai-roo...
    non+autenticato
  • Si certo, Mac mediocre.
    Torna a giocare con tuo bandone acer con win7 crakkato.
    non+autenticato
  • - Scritto da: nr valerivs
    > Si certo, Mac mediocre.
    > Torna a giocare con tuo bandone acer con win7
    > crakkato.

    Primo assunto: MAC è un banale PC inutile che ve la meniate ancora con la storia che l'HW è superiore.
    Secondo assunto: a parità di prezzo, un PC Apple (perchè come appena scritto di PC si tratta) costa sensibilmente di più.

    Es: io con 1000 euro scarsi posso avere un PC con corei7, 8 GB di RAM DDR3 1333, 2 hd raptor in raid 0, 2 gpu medio-alte in crossfirex e alim. da 1000 watt buono.

    Tu con 1000 euro che Mac ti prendi? Potrà mai competere sotto il profilo HW con il PC da me descritto? Non penso proprio ergo mac è un PC mediocre.

    Poi se spendi 8000 euro per prenderti il miglior mac in commercio ne riparliamo: probabilmente raggiungeresti le prestazioni del mio PC da 1000.
  • Con la differenza che tu avrai sempre una Ferrari che si porta a rimorchio un autotreno, mentre chi utilizza Mac avrà una Mercedes libera di viaggiare a pieno regime.

    Ma questa cosa non la capirete mai...

    Ah... resta il fatto che non esiste una perfetta corrispondenza componentistica fra Mac e PC. Ciascun componente HW e riprogettatto ed adattato alla macchina Apple. Ne esce fuori un prodotto di alta ingegnerizzazione, funzionale ed estremamente silenzioso. Niente cavi volanti, tastiere con tasti a corsa morbida, materiali di prim'ordine quali vetro ed alluminio, tecnologia costruttiva unibody, software a corredo neanche lontanamente paragonabile alle porcate dimostrative distribuite su pc di altri produttori, etc. etc.
    Questo fa di un mac una macchina che tiene comunque il valore nel tempo.

    Se sai farti i conti, il che presuppone una certa lungimiranza, vai a risparmiare.

    Poi potete sparare tutte le idiozie che volete, e cioè che la RAM costa cara (ma Apple non ti obbliga a scegliere quella sua), che la garanzia è di un anno (cosa vera solo in parte), che l'assistenza è pessima (cosa assolutamente falsa), e le varie assurdità che non vi stancherete mai di sparare.

    Ah... a proposito di costi...
    Vogliamo parlare del costo di una licenza antivirus?
    Vogliamo parlare di schermi IPS?
    Vogliamo parlare di manutenzione? (Eh sì, non tutti sanno porre rimedio ad un danno sw, neanche avendo a disposizione dei dischi di ripristino, te lo assicuro...)
    Vogliamo parlare di sconti educational e professional?

    Ah, gattini ciechi....
    non+autenticato
  • > Ah... resta il fatto che non esiste una perfetta
    > corrispondenza componentistica fra Mac e PC.
    > Ciascun componente HW e riprogettatto ed adattato
    > alla macchina Apple.
    si certo la intel gli fa gli iCore firmati applez; nei colori più trendy...A bocca aperta
    non+autenticato
  • Premesso che in alcuni casi intel abbia prodotto, in esclusiva per Apple, determinati processori (i Nahalem del Pro e una linea particolare di core 2 duo per il MbAir), a riprova della differenza non quantitativa ma qualitativa delle componenti HW delle due macchine, ti sfido ad disassemblare un pc portatile con le stesse specifiche di un imac, riassemblandolo facendo sì da ricalcare una coerenza di ingegnerizzazione di questo tipo:
    http://www.calmug.org/wp-content/uploads/2009/10/i...
    Oppure, prova ad assemblare un fisso con le stesse specifiche di un MacPro, mantenendone lo stesso ordine:
    http://www.architosh.com/features/2006/reviews/mac...

    Non si tratta di paradossi mentali, credimi. Il processo mediante cui si arriva a produrre macchine del genere si chiama "ingegnerizzazione decrementale", ed è volta a diminuire la complessità di un'apparecchiatura al fine di garantirne una maggior vita utilizzando, al contempo, materiali di estrema qualità che garantiscano silenziosità, leggerezza, dissipazione termica e la plasmabilità del bene (in questo caso una computer) al design desiderato. Il tutto volto a dilatare quanto più a lungo possibile il ciclo di vita di un prodotto il che, fra i tanti vantaggi, porta il bene a mantenere il valore nel tempo. E' questo il motivo per cui un Mac usato ha comunque un suo mercato: mantiene nel tempo funzionalità e gredevolezza.

    Poi il mercato è vario. Non a caso guidiamo tutti macchine diverse. A me può piacere molto la macchina con le sospensioni attive, ma è ovvio che tale vettura ha un mercato più di nicchia rispetto ad una più economica vettura, dotata delle stesse prestazioni (medesima EFFICACIA) con sospensioni rigide (minore EFFICIENZA a causa di un peggiore comfort di guida). Spero di aver reso chiaro il mio pensiero.
    non+autenticato
  • "Premesso che in alcuni casi intel abbia prodotto"

    Chiedo scusa, "intel ha prodotto"...
    non+autenticato
  • - Scritto da: Cesare
    > Con la differenza che tu avrai sempre una Ferrari
    > che si porta a rimorchio un autotreno, mentre chi
    > utilizza Mac avrà una Mercedes libera di
    > viaggiare a pieno
    > regime.
    >

    Bla, bla, bla. Direi che il lavaggio del cervello dello zio Steve ha funzionato alla grande con te.

    Un PC come quello che ho descritto lo possiedo: inutile dire che un Mac si piegherebbe in 2 con l'uso che ne faccio io; giusto per puntualizzare su questo PC ho, tra le tante cose, 2 server virtuali usati per test vari, che sono up 24/24 e ad ognuno ho assegnato 2 GB di Ram.
    Nonostante l'uso a dir poco massacrante 7 è strabiliante e il sistema è sempre reattivo qualunque cosa gli faccia fare: il numero di crash è pari a zero e non so cosa sia un BSOD da anni. Ma certo la macchina l'ho configurata io e non certo Acer o ancora peggio TU.

    > Ma questa cosa non la capirete mai...
    >

    Qui sei tu che non capisci: non a caso nella scala evolutiva i macachi sono sotto all'homo sapiens.

    > Ah... resta il fatto che non esiste una perfetta
    > corrispondenza componentistica fra Mac e PC.
    > Ciascun componente HW e riprogettatto ed adattato
    > alla macchina Apple. Ne esce fuori un prodotto di
    > alta ingegnerizzazione, funzionale ed
    > estremamente silenzioso. Niente cavi volanti,
    > tastiere con tasti a corsa morbida, materiali di
    > prim'ordine quali vetro ed alluminio, tecnologia
    > costruttiva unibody, software a corredo neanche
    > lontanamente paragonabile alle porcate
    > dimostrative distribuite su pc di altri
    > produttori, etc.
    > etc.

    Bravo paga il vetro e l'alluminio: a me basta il silicio.

    > Questo fa di un mac una macchina che tiene
    > comunque il valore nel tempo.
    >
    >

    Dicevate così anche di PowerPC Rotola dal ridere
    Continuo a mettere il dito nella piaga o mi fermo? Mi fermo dai, non vorrei ti venisse nostalgia.

    > Se sai farti i conti, il che presuppone una certa
    > lungimiranza, vai a risparmiare.
    >

    A proposito di conti: rifatteli tu perchè stai diventando ridicolo.


    >
    > Poi potete sparare tutte le idiozie che volete, e
    > cioè che la RAM costa cara (ma Apple non ti
    > obbliga a scegliere quella sua), che la garanzia
    > è di un anno (cosa vera solo in parte), che
    > l'assistenza è pessima (cosa assolutamente
    > falsa), e le varie assurdità che non vi
    > stancherete mai di
    > sparare.
    >
    > Ah... a proposito di costi...
    > Vogliamo parlare del costo di una licenza
    > antivirus?
    > Vogliamo parlare di schermi IPS?
    > Vogliamo parlare di manutenzione? (Eh sì, non
    > tutti sanno porre rimedio ad un danno sw, neanche
    > avendo a disposizione dei dischi di ripristino,
    > te lo
    > assicuro...)
    > Vogliamo parlare di sconti educational e
    > professional?
    >
    > Ah, gattini ciechi....

    Bla, bla, bla. Quanti luoghi comuni mi passa la voglia di rispondere a tali boiate.
  • Scusa ma perchè passi alle offese? mica ti ho offeso io.
    non+autenticato
  • Ho riscontrato problemi anche con Windows 7. Premetto che escludo a priori la possibilità che sulla macchina dove ho riscontrato problemi ci sia un rootkit. C'è solo software originale (è un pc di lavoro) e ad ogni patch day ripristino un'immagine pulita, con la macchina mai connessa ad internet, installo gli aggiornamenti e creo una nuova immagine (conservando quella del mese precedente per sicurezza)

    Il problema riscontrato è il seguente: dopo aver installato l'aggiornamento sull'icona delle connessioni internet appare una X rossa, nonostante il pc sia regolarmente connesso ad internet. Aprendo il Centro connessioni di rete e cliccando su "Modifica impostazioni scheda" (dovevo cambiare gli indirizzi dns) non accade nulla. E' quindi impossibile modificare le proprietà di qualsiasi scheda di rete.
    non+autenticato
  • dimenticavo... ovviamente disinstallando l'aggiornamento tutto è tornato normale
    non+autenticato
  • Hai il numero dell'aggiornamento in questione?
    non+autenticato
  • sorry ^^

    KB977165
    non+autenticato
  • Con quell'aggiornamento, quindi, Seven si impalla a livello di Rete?
    non+autenticato
  • "e disinstallare l'aggiornamento"

    e come?
    non+autenticato
  • - Scritto da: hooba
    > "e disinstallare l'aggiornamento"
    >
    > e come?

    v. nome e cognome
    non+autenticato
  • - Scritto da: Dal pannello di controllo. ..
    > - Scritto da: hooba
    > > "e disinstallare l'aggiornamento"
    > >
    > > e come?
    >
    > v. nome e cognome
    La console di ripristino ha un pannello di controllo? Figo, non lo sapevo ...
    non+autenticato
  • - Scritto da: hooba
    > "e disinstallare l'aggiornamento"
    >
    > e come?

    Infila nel lettore CD una live di ubuntu e quando ti chiede se vuoi installare su disco al posto del rootkit, clicca SI.
  • - Scritto da: panda rossa
    >
    > Infila nel lettore CD una live di ubuntu e quando
    > ti chiede se vuoi installare su disco al posto
    > del rootkit, clicca
    > SI.

    Questa soluzione è fantastica!
    Così anche lui potrà entrare a far parte del magico mondo dei mediocri e di "chi si accontenta"...per forza maggiore...

    Occhiolino

    Fan Windows
  • - Scritto da: Uau (TM)
    > - Scritto da: panda rossa
    > >
    > > Infila nel lettore CD una live di ubuntu e
    > quando
    > > ti chiede se vuoi installare su disco al posto
    > > del rootkit, clicca
    > > SI.
    >
    > Questa soluzione è fantastica!
    > Così anche lui potrà entrare a far parte del
    > magico mondo dei mediocri e di "chi si
    > accontenta"...per forza
    > maggiore...
    >
    > Occhiolino
    >
    > Fan Windows

    Poverino, sarà dura accontentarsi di non usare un antivirusA bocca aperta
    Shiba
    3919
  • - Scritto da: Shiba
    > - Scritto da: Uau (TM)
    > > - Scritto da: panda rossa
    > > >
    > > > Infila nel lettore CD una live di ubuntu e
    > > quando
    > > > ti chiede se vuoi installare su disco al posto
    > > > del rootkit, clicca
    > > > SI.
    > >
    > > Questa soluzione è fantastica!
    > > Così anche lui potrà entrare a far parte del
    > > magico mondo dei mediocri e di "chi si
    > > accontenta"...per forza
    > > maggiore...
    > >
    > > Occhiolino
    > >
    > > Fan Windows
    >
    > Poverino, sarà dura accontentarsi di non usare un
    > antivirus
    >A bocca aperta

    Chi si accontenta, gode.
    Per tutti gli altri virus c'e' settete!
  • - Scritto da: Uau (TM)
    > [img]http://i105.photobucket.com/albums/m237/Omzaw

    Era il mio wallpaper anni fa! XD
    Shiba
    3919
  • - Scritto da: panda rossa
    > Chi si accontenta, gode.
    > Per tutti gli altri virus c'e' settete!
    Ma riesci ogni tanto a scrivere un commento tecnico oppure no? Se non sei in grado per mancanza di cultura informatica, almeno taci, perchè il conoscere 4 comandi bash da digitare in un terminale non ti rende migliore o più furbo degli altri.
    non+autenticato
  • - Scritto da: rottamatore di pande rosse
    > - Scritto da: panda rossa
    > > Chi si accontenta, gode.
    > > Per tutti gli altri virus c'e' settete!
    > Ma riesci ogni tanto a scrivere un commento
    > tecnico oppure no? Se non sei in grado per
    > mancanza di cultura informatica, almeno taci,
    > perchè il conoscere 4 comandi bash da digitare in
    > un terminale non ti rende migliore o più furbo
    > degli
    > altri.

    Mi rende esente da virus e ben pagato.
    Per il resto hai ragione tu: io di informatica non ci capisco un tubo.
  • dopo window sette aspettiamo window 14 fra 10 o 15 anni che magari riusciranno a fare un sistema sicuro. Se non é un rotkitt é un troian o un virus!. Il kernen di window é proprio bacato alla radice x permettere che succeda sempre!
  • - Scritto da: hacher
    > dopo window sette aspettiamo window 14 fra 10 o
    > 15 anni che magari riusciranno a fare un sistema
    > sicuro. Se non é un rotkitt é un troian o un
    > virus!. Il kernen di window é proprio bacato alla
    > radice x permettere che succeda
    > sempre!

    Chi ha scritto sto post, ad es., è un fanboy "Io-sono-figo-perchè-ho-linux-gratuito-e-tu-formatta-quella-*erda-di-window".

    Congratulazioni. C'è anche chi vi da lavoro.. io mi vergognerei. Soldi buttati.
    non+autenticato
  • >
    > Chi ha scritto sto post, ad es., è un fanboy
    > "Io-sono-figo-perchè-ho-linux-gratuito-e-tu-format
    >
    > Congratulazioni. C'è anche chi vi da lavoro.. io
    > mi vergognerei. Soldi
    > buttati.

    Cambia in "io-ho-ubunto-e-non-ho-i-virus-e-rotkitt tu tieni-pure-widnow-problema-tuo"
    Ti suona meglio così?
    Che c'entra il lavoro? ringrazia dio se ce l'ai!
  • > Cambia in
    > "io-ho-ubunto-e-non-ho-i-virus-e-rotkitt tu
    > tieni-pure-widnow-problema-tuo"
    NON ho rootkit?
    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Lol, lo sai che i rootkit erano nati sui sistemi *nix?

    Informati meglio.
    non+autenticato
  • - Scritto da: B. Irba
    > Lol, lo sai che i rootkit erano nati sui sistemi
    > *nix?
    >
    > Informati meglio.

    Hai detto ERANO, giusto?
  • puoi fare di meglio
    stavolta non ti sei impegnato per la trollata
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)