Computerworld News Service: Brugere af Windows XP begyndte i sidste uge at oversvømme Windows support-fora med klager om, at deres computere var blevet gjort ubrugelige på grund af en såkaldt blue screen of death-fejl, efter de havde installeret Microsofts sikkerhedsopdateringer for februar, der udkom i tirsdags. Microsoft stoppede med at udsende opdateringen MS10-015, som tilsyneladende havde noget at gøre med problemet, og meddelte at være i gang med at undersøge sagen.
I fredags konkluderede Microsoft foreløbigt, at det var muligt, at skadeligt software var skyld i problemet. "Malware på systemet kan være årsag til problemet," skrev talsmand for Microsoft Jerry Bryant på en blog.
"Vi har bekræftede sager, hvor fjernelsen af malware har gjort det muligt igen at starte systemet op," skriver han i en Twitter-besked.
Windows XP-bruger Patrick Barnes fortæller, at han har sporet problemet til et skadeligt rootkit, der er kendt som TDSS, og som han fandt på en af sine computere.
I et indlæg på Internet Storm Center skriver Barnes, at han har identificerede en defekt fil ved navn atapi.sys. Da han indsendte filen til analyse, viste det sig at være TDSS-rootkittet.
Dette rootkit er dog muligvis ikke den eneste årsag til problemet.
"At dømme ud fra de rapporter, jeg har modtaget, er den inficerede atapi.sys den mest almindelige årsag til denne blå skærm," skriver Barnes i sit indlæg.
"Men enhver driver, der henviser ukorrekt til de opdaterede dele af kernen, kan også give blå skærm."
Løsning ude på en blog
Barnes offentliggjorde i fredags instruktioner til at løse problemet på sin blog.
Sikkerhedsleverandøren Kaspersky Lab har udgivet et værktøj specifikt designet til at fjerne TDSS-inficeringen.
Man er som bruger nødt til først at fjerne rootkittet, før man kan reparere problemet eller installere sikkerhedsopdateringen, skriver Barnes i indlægget på Internet Storm Center.
Har man fået den blå fejlmeddelelses-skærm, bør man tage sin harddisk ud af computeren og derefter skanne den for inficeringer fra en anden computer, for at sikre sig at man får fjernet inficeringen.
"Hvis atapi.sys fjernes, er man nødt til at erstatte denne fil fra sin installations-cd eller fra en anden Windows-installation af samme version," skriver Barnes. Sæt derefter harddisken på plads igen og forsøg at starte op. Hvis den stadig ikke starter op, kan man prøve at foretage en reparations-installation af Windows. Hvis det ikke fungerer, så kan man være nødt til at geninstallere hele systemet."
Svær at opdage
Da TDSS skjuler sig på udspekuleret vis på styresystemet, har mange antivirus-programmer svært ved at opdage dette rootkit, fortæller Roel Schouwenberg, der er antivirus-analytiker hos Kaspersky.
"Jo mere jeg undersøger det, des mere plausibelt bliver det, at dette faktisk er hoved-årsagen bag problemet med den blå skærm.
MS10-015 er en opdatering af Windows-kernen, og atapi.sys indeholder det ekstremt avancerede TDSS-kernel-rootkit," påpeger han via instant message.
"At Microsoft trækker opdateringen tilbage siger med al tydelighed noget om, hvor udbredt dette problem er."
Barnes reparations-instruktioner "giver mening," vurderer Schouwenberg. "I lyset af problemets karakter tvivler jeg på, at der er en nemmere måde."
Microsoft har dog udtalt, at problemet rammer et "begrænset antal" kunder.
Oversat af Thomas Bøndergaard
