Artikel top billede

Her er forklaringen på blå skærm i Windows

Microsoft bekræfter, at malware er årsag til blue screen of death efter Windows-opdatering, og at det kan være nødvendigt at geninstallere Windows for at fjerne det genstridige rootkit.

Computerworld News Service: Microsoft bekræfter, at et rootkit er årsagen til, at mange Windows-computere ikke har kunnet startes op igen, efter brugerne har installeret en sikkerhedsopdatering, der udkom i sidste uge.

Det er kun systemer, der i forvejen er inficerede med rootkittet Alureon, der er blevet lagt ned af blue screen of death-fejl, skriver Mike Reavey, der er leder af Microsoft Security Response Center (MSRC) i en meddelelse på centrets blog.

"Vores undersøgelse konkluderer, at den gentagne genopstart forekommer, fordi systemet er inficeret med malware," oplyser han.

Han tilføjer, at opdateringen MS10-015 ikke er skyld i problemet. "Vi har ikke fundet nogen kvalitetsproblemer med sikkerhedsopdateringen MS10-015," understreger Reavey.

Alllerede forudsagt af sikkerhedseksperter

At malware er årsagen, var også den forventede konklusion fra Microsoft. I sidste uge blev dette rootkit - der også kaldes både TDSS, Tidserv og TDL3 - fremhævet af sikkerhedseksperter som den mest sandsynlige årsag.

Få timer efter udgivelsen 9. januar af MS10-015 og 12 andre sikkerhedsopdateringer, begyndte brugerne at rapportere, at deres computere ikke ville starte op igen. To dage efter havde Microsoft sat en stopper for den automatiske distribution af MS10-015 og igangsat en undersøgelse, der afslørede, at malware sandsynligvis var årsagen.

Onsdag i denne uge gik Reavey ud med samme historie som de uafhængige eksperter, som tidligere havde placeret skylden på en adressekonflikt mellem MS10-015 og rootkittet.

"Malwarens programmører ændrede i Windows' adfærd ved at forsøge at få adgang til en specifik adresse i hukommelsen i stedet for at lade Windows afgøre adressen," forklarer Reavey.

"Da MS10-015 blev downloadet og installeret blev adressen ændret for noget Windows-kode. Ved næste opstart crashede malware-koden, fordi den forsøgte at kalde en specifik adresse i noget Windows-kode, som ikke længere indeholdte den samme funktion af styresystemet."

MS10-015 retter en 17 år gammel fejl i alle 32 bit-versioner af Windows.

Reavey erkender, at Microsofts kvalitetskontrol af opdateringerne ikke fangede konflikten, men forklarer, at det er svært at teste for interaktion med malware. "Denne type inficeringer efterlader ofte maskinen i så ustabil en tilstand, at den ikke kan testes pålideligt," siger Reavey.

Han bekræfter også, at alle 32 bit-versioner af Windows i princippet er sårbare over for de problemer, som Alureon er skyld i, heriblandt Windows 7, selvom størstedelen af klagerne er kommet fra brugere af Windows XP.

Det burde dog heller ikke komme som nogen overraskelse, da XP er det mest brugte styresystem på verdensplan.

Skal måske geninstallere Windows

Selvom adskillige sikkerhedsfirmaer har offentliggjort instruktioner og værktøjer til at hjælpe brugere, der er fanget i den blå fejlmeddelelse, har Microsoft ingen råd at give til de kunder, der allerede er ramt af problemet.

Reaveys anbefaling er brutal: "Hvis man som kunde ikke med sikkerhed kan fjerne rootkittet med antivirus/antimalware-software efter eget valg, er den sikreste anbefaling for ejeren af systemet at lave backup af vigtige filer og derefter geninstallere systemet på en nyformateret harddisk," siger han.

Han tilbyder dog ingen forklaringer om, hvordan brugere kan genvinde kontrollen over deres pc'er, som ikke vil starte op.

Kaspersky Lab tilbyder en mindre ekstrem løsning med et gratis værktøj, der finder og fjerner rootkittet (download her som zip-fil til Windows-pc). Symantec opfordrer brugerne til at erstatte rootkit-inficerede drivere med nye kopier.

Det er dog Microsofts hensigt at stille en løsning til rådighed til at fjerne Alureon-rootkittet fra inficerede pc'er, men Reavey oplyser, at der vil gå "nogle få uger," før den er klar.

Før i tiden har Microsoft brugt sit Værktøj til fjernelse af skadelig software, som er et gratis program, der opdateres på hver af Microsofts regelmæssige opdateringstirsdage, til at fjerne rootkits. Den næste planlagte opdatering af Værktøj til fjernelse af skadelig software ligger 9. marts om næsten tre uger.

Da rootkittet kun inficerer 32 bit-versioner af Windows, er Microsoft igen begyndt at udsende MS10-015 til 64 bit-systemer via den automatiske opdatering.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere