Μicrosoft: Το rootkit Alureon είναι o ένοχος για τις "μπλε οθόνες" στα Windows

**nm96027** · 18-02-10, 23:48

Την προηγούμενη εβδομάδα εμφανίστηκαν αναφορές χρηστών σύμφωνα με τις οποίες παρουσιάζονταν πρόβλημα "μπλε οθόνης" σε υπολογιστές που έχουν ως λειτουργικό σύστημα Windows XP αλλά και άλλες εκδόσεις Windows. Oι αναφορές αυτές εμφανίστηκαν μετά την τελευταία έκδοση ενημερώσεων ασφάλειας της Microsoft. Η εταιρεία, κατόπιν τούτου, αναγκάστηκε να σταματήσει την διάθεση της ενημέρωσης MS10-015 (KB977165) με την οποία το πρόβλημα είχε αρχικά συνδεθεί.

Τα πρώτα αποτελέσματα της έρευνας που είχε προαναγγείλει η Microsoft, έδειχναν πως η αιτία του προβλήματος ήταν κακόβουλο λογισμικό. Χθες η εταιρεία επιβεβαίωσε το γεγονός μέσω του blog post του Mike Reavey, διευθυντή του Microsoft Security Response Center. Σύμφωνα με τον M. Reavy οι μπλε οθόνες προκαλούνται από το ήδη εγκατεστημένο rootkit με την ονομασία Alureon, το οποίο τροποποιεί τον Widnows Kernel στα 32-bit και έτσι μετατρέπει τα συστήματα σε ασταθή.

Επίσης το μήνυμα αναφέρει πως δεν υπάρχει πρόβλημα με την ενημέρωση ασφάλειας MS10-015, χωρίς όμως να αναφέρει πότε θα επιστρέψει στο Windows Update για τα συστήματα των 32-bit. Αντιθέτως τα λειτουργικά συστήματα στα 64-bit έχουν αποδειχθεί ασφαλή και κατά συνέπεια οι ενημερώσεις συνεχίζουν κανονικά σε αυτά.

Aς δούμε πως το M. Reavy περιγράφει το πως δημιουργήθηκε το πρόβλημα με το Alureon και την ενημέρωση MS10-015:

"Οι δημιουργοί του Alureon είχαν τροποποιήσει την συμπεριφορά των Windows προσπαθώντας να έχουν πρόσβαση σε ένα συγκεκριμένο κομμάτι της μνήμης, αντί να αφήσουν το λειτουργικό σύστημα να του αποδώσει διεύθυνση μνήμης. Η εγκατάσταση του MS10-015 άλλαξε τον κώδικα των Windows και έτσι η αποτυχημένη πρόσβαση του Alureon στην συγκεκριμένη διεύθυνση οδηγούσε το σύστημα - μετά την πρώτη επανεκκίνηση- σε μη-προβλεπόμενη λειτουργία."

Προς το παρόν η Microsoft εργάζεται πάνω σε μία απλή λύση για τον εντοπισμό και την απομάκρυνση του Alureon, κάτι για το οποίο θα συμβεί "σε λίγες εβδομάδες".

Mπορείτε να διαβάσετε ολόκληρο το blog post του Mike Reavy στο MSRC, πατώντας εδώ.

Πηγή: Techspot

Σχετικό θέμα στο adslgr.com: Microsoft: Ενημέρωση ασφάλειας προκαλεί "μπλε οθόνες" σε Windows XP

**manosdoc** · 18-02-10, 23:55

Αναμενόμενο.

**Hetfield** · 18-02-10, 23:58

Πολυς κοσμος την πατησε με αυτο το rootkit. Προσωπικα ξερω 2 ατομα που τη πατησαν ετσι

**dpa2006** · 19-02-10, 00:11

αναμενόμενο,δεν δίνουν updates χωρίς πριν να ελέγξουν το update
αναμένουμε και τον τρόπο αφαίρεσης.

**ownagE_** · 19-02-10, 00:16

Αρχικό μήνυμα από dpa2006

αναμενόμενο,δεν δίνουν updates χωρίς ποιοτικό έλεγχο
αναμένουμε και τον τρόπο αφαίρεσης.

Δηλαδή θα πρέπει να χώσουν σ'ένα PC όλα τα rootkits/malware/spyware/adware/virus/trojan/keyloggers και μετά να δοκιμάζουν τα updates.

**WAntilles** · 19-02-10, 00:19

Αρχικό μήνυμα από dpa2006

αναμενόμενο,δεν δίνουν updates χωρίς πριν να ελέγξουν το update

Όχι θα ελέγχουνε για τον κάθε τροτζάνιο πρώτα.

Αυτό φυσικά ούτε γίνεται, ούτε και είναι υποχρεωμένοι να το κάνουν.

Υποχρεωμένοι είναι όμως να κάνουν επιτέλους τα Windows σοβαρά και ασφαλή, με τις ελλείψεις 13 σημείων που έχω επισημάνει πολλές φορές.

**dpa2006** · 19-02-10, 00:20

Αρχικό μήνυμα από ownagE_

Δηλαδή θα πρέπει να χώσουν σ'ένα PC όλα τα rootkits/malware/spyware/adware/virus/trojan/keyloggers και μετά να δοκιμάζουν τα updates.

όχι απλά λέω ότι τα updates είναι δοκιμασμένα για καθαρά pc
με το πρόβλημα που παρουσιάστηκε (BSOD) από το update βρέθηκε το rootkit.
προφανώς αν είχε "γραφεί" καλύτερα ο ιοικός κώδικας να μην αποκαλυπτόταν άμεσα.

**manosdoc** · 19-02-10, 01:05

Αρχικό μήνυμα από WAntilles

Όχι θα ελέγχουνε για τον κάθε τροτζάνιο πρώτα.

Αυτό φυσικά ούτε γίνεται, ούτε και είναι υποχρεωμένοι να το κάνουν.

Υποχρεωμένοι είναι όμως να κάνουν επιτέλους τα Windows σοβαρά και ασφαλή, με τις ελλείψεις 13 σημείων που έχω επισημάνει πολλές φορές.

Έχει δίκιο ο WAn. Αν είναι δυνατόν να ελέγχουν αν τα Updates θα "ενοχλούν" τα rootkits... τι άλλο θα διαβάσουμε...

opener · 19-02-10, 01:09

Εγω θα παραθεσω ξανα τα παρακατω, οπως εκανα και στο αλλο νημα
http://www.adslgr.com/forum/showpost...8&postcount=57
και θα σημειωσω οτι μιλαμε παντα για το ιδιο rookit, ασχετα αν εδω αναφερεται με την ονομασια που του εδωσε η Microsoft --> Alureon και οχι με την ανομασια του Kaspersky -->TDSS που ηταν και η ποιο γνωστη.

Virus:Win32/Alureon.A

Aliases:
Win32/Olmarik!generic (CA)
Rootkit.Win32.TDSS.u (Kaspersky)
W32/TDSS.drv.gen4.A (Norman)
Mal/TDSSPack-V (Sophos)

Detection initially created:
Definition: 1.69.77.0
Released: Oct 23, 2009

http://www.microsoft.com/security/po...in32/Alureon.A

edit 1:

20. Rootkit.Win32.TDSS.u
[ virfeed ]
Malware detected 2008-10-09

http://www.viruslist.com/en/find?wor...32.TDSS&page=1

Microsoft says rootkit caused Windows blue screens
Users may have to reinstall Windows to eradicate the malware

Microsoft late on Wednesday confirmed that a rootkit caused Windows PCs to crash after users applied a security patch issued last week.
Only systems infected with the Alureon rootkit....
...
.... Last week, the rootkit -- also called TDSS, Tidserv and TDL3 -- had been named by security researchers as the likely culprit....
http://www.computerworld.com/s/artic...s_blue_screens

edit 2:

How to remove malware belonging to the family Rootkit.Win32.TDSS
Disinfection of an infected system
Download the file TDSSKiller.zip and extract it into a folder on the infected (or potentially infected) PC.
Execute the file TDSSKiller.exe.
Wait for the scan and disinfection process to be over. You do not have to reboot the PC after the disinfection is over.
http://support.kaspersky.com/viruses...?qid=208280684

http://www.adslgr.com/forum/showpost...4&postcount=40

**dpa2006** · 19-02-10, 15:09

[WAntilles Όχι θα ελέγχουνε για τον κάθε τροτζάνιο πρώτα.

Αυτό φυσικά ούτε γίνεται, ούτε και είναι υποχρεωμένοι να το κάνουν.

συμφωνώ,δεν γίνεται και δεν νομίζω να γίνει

Υποχρεωμένοι είναι όμως να κάνουν επιτέλους τα Windows σοβαρά και ασφαλή, με τις ελλείψεις 13 σημείων που έχω επισημάνει πολλές φορές.

και πάλι συμφωνώ,ελπίζω να γίνουν πράγματι ασφαλή κάποια ημέρα,προς το παρόν δεν το έχουν επιτύχει.

opener · 28-02-10, 11:17

TDL3 rootkit (aka TDSS aka Alureon)

MS10-015 incompatibility fixed by TDL3 rootkit authors

TDL3 rootkit authors noticed a significant drop in the number of computers under their control. This decrease is related to the MS10-015 patch that Microsoft started to push on Tuesday, February 9. The patch caused a Blue Screen Of Death when the computer was infected with the TDL3 rootkit.

Therefore the authors of the TDL3 rootkit released a new version that fix the incompatibility with the Windows Update. Clever !

See http://www.youtube.com/watch?v=Jbw2d2JqLNs for a short explanation of what happens when you install the Microsoft update on a computer infected with the TDL3 rootkit.
http://hitmanpro.wordpress.com/2010/...otkit-authors/

1234567

**dpa2006** · 01-03-10, 02:05

διόρθωσαν την ασυμβάτοτητα με το patch ώστε να μην ανιχνεύεται!?
ευτυχώς που ανιχνεύεται από κάποια antimalware ακόμη.
γνωρίζουμε κάποιο άλλο εκτός από το Hitman που να το αναγνωρίζει(όχι ότι δεν μου αρκεί).

opener · 03-03-10, 20:51

Update:

Update: MS10-015 security update re-released with new detection logic
Tuesday, March 02, 2010
Hi,

I am writing to let you know that we have revised the installation packages for MS10-015 with new logic that prevents the security update from being installed on systems if certain abnormal conditions exist. Such conditions could be the result of an infection with a computer virus such as the Alureon rootkit. If these conditions are detected, the update will not be installed and the result will be a standard Windows Update error. If a user receives this error, they should go to the following landing page for additional help:

http://www.microsoft.com/security/updates/015

At this time, we have resumed offering the update to all affected systems via Automatic Updates.

We have also released a Microsoft Fix It as a standalone scanning tool that reports on the compatibility of a system with the MS10-015 update. The scanning tool can also be deployed through enterprise deployment systems allowing administrators to detect compatibility with the update before deploying broadly. The Fix It and deployment information are available at Microsoft Knowledge Base Article 980966.

Customers who believe they have experienced a restart issue after installing MS10-015, are encouraged to visit our Customer Service and Support page at https://consumersecuritysupport.microsoft.com or call 1-866-PCSafety (1-866-727-2338). International customers can find local support contact numbers here: http://support.microsoft.com/common/international.aspx.

Update: note that the update will not be re-offered to those who have already successfully installed the update.

Thanks,

Jerry Bryant
Sr. Security Communications Manager Lead
http://blogs.technet.com/msrc/archiv...ion-logic.aspx

**dpa2006** · 03-03-10, 21:07

οπότε μπορούμε να αναβαθμίσουμε άφοβα πλέον;

σύμφωνα με το αποτέλεσμα

Spoiler:

από το fix tool,να το εγκαταστήσω άφοβα;

μου εμφανίστηκε στα updates το νέο update.

opener · 03-03-10, 22:42

@ dpa2006,
Το "αφοβα" νομιζω οτι ειναι σχετικο.
Ομως απο την στιγμη που:
1) Tο fix tool αναφερει οτι ο υπολογιστης σου ειναι συμβατος με την ενημερωση.
2) Ουτως η αλλως πριν την εγκατασταση της θα γινει επανελεγχος =

we have revised the installation packages for MS10-015 with new logic that prevents the security update from being installed on systems if certain abnormal conditions exist. Such conditions could be the result of an infection with a computer virus such as the Alureon rootkit. If these conditions are detected, the update will not be installed and the result will be a standard Windows Update error.

Εγω αν ημουν στη θεση σου, θα δοκιμαζα την εγκατασταση της ενημερωσης.

Θέμα: Μicrosoft: Το rootkit Alureon είναι o ένοχος για τις "μπλε οθόνες" στα Windows

Παρόμοια Θέματα

Η Μicrosoft ανακοινώνει τις τιμές των Windows 7 για την Ελλάδα

Σας ενοχλούν οι Μπλέ οθόνες? (BSOD) Κάντε τις πράσινες! (GSOD)

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές