Computerworld News Service: Microsoft bekræfter, at et rootkit er årsagen til, at mange Windows-computere ikke har kunnet startes op igen, efter brugerne har installeret en sikkerhedsopdatering, der udkom i sidste uge.
Det er kun systemer, der i forvejen er inficerede med rootkittet Alureon, der er blevet lagt ned af blue screen of death-fejl, skriver Mike Reavey, der er leder af Microsoft Security Response Center (MSRC) i en meddelelse på centrets blog.
"Vores undersøgelse konkluderer, at den gentagne genopstart forekommer, fordi systemet er inficeret med malware," oplyser han.
Han tilføjer, at opdateringen MS10-015 ikke er skyld i problemet. "Vi har ikke fundet nogen kvalitetsproblemer med sikkerhedsopdateringen MS10-015," understreger Reavey.
Alllerede forudsagt af sikkerhedseksperter
At malware er årsagen, var også den forventede konklusion fra Microsoft. I sidste uge blev dette rootkit - der også kaldes både TDSS, Tidserv og TDL3 - fremhævet af sikkerhedseksperter som den mest sandsynlige årsag.
Få timer efter udgivelsen 9. januar af MS10-015 og 12 andre sikkerhedsopdateringer, begyndte brugerne at rapportere, at deres computere ikke ville starte op igen. To dage efter havde Microsoft sat en stopper for den automatiske distribution af MS10-015 og igangsat en undersøgelse, der afslørede, at malware sandsynligvis var årsagen.
Onsdag i denne uge gik Reavey ud med samme historie som de uafhængige eksperter, som tidligere havde placeret skylden på en adressekonflikt mellem MS10-015 og rootkittet.
"Malwarens programmører ændrede i Windows' adfærd ved at forsøge at få adgang til en specifik adresse i hukommelsen i stedet for at lade Windows afgøre adressen," forklarer Reavey.
"Da MS10-015 blev downloadet og installeret blev adressen ændret for noget Windows-kode. Ved næste opstart crashede malware-koden, fordi den forsøgte at kalde en specifik adresse i noget Windows-kode, som ikke længere indeholdte den samme funktion af styresystemet."
MS10-015 retter en 17 år gammel fejl i alle 32 bit-versioner af Windows.
Reavey erkender, at Microsofts kvalitetskontrol af opdateringerne ikke fangede konflikten, men forklarer, at det er svært at teste for interaktion med malware. "Denne type inficeringer efterlader ofte maskinen i så ustabil en tilstand, at den ikke kan testes pålideligt," siger Reavey.
Han bekræfter også, at alle 32 bit-versioner af Windows i princippet er sårbare over for de problemer, som Alureon er skyld i, heriblandt Windows 7, selvom størstedelen af klagerne er kommet fra brugere af Windows XP.
Det burde dog heller ikke komme som nogen overraskelse, da XP er det mest brugte styresystem på verdensplan.
Skal måske geninstallere Windows
Selvom adskillige sikkerhedsfirmaer har offentliggjort instruktioner og værktøjer til at hjælpe brugere, der er fanget i den blå fejlmeddelelse, har Microsoft ingen råd at give til de kunder, der allerede er ramt af problemet.
Reaveys anbefaling er brutal: "Hvis man som kunde ikke med sikkerhed kan fjerne rootkittet med antivirus/antimalware-software efter eget valg, er den sikreste anbefaling for ejeren af systemet at lave backup af vigtige filer og derefter geninstallere systemet på en nyformateret harddisk," siger han.
Han tilbyder dog ingen forklaringer om, hvordan brugere kan genvinde kontrollen over deres pc'er, som ikke vil starte op.
Kaspersky Lab tilbyder en mindre ekstrem løsning med et gratis værktøj, der finder og fjerner rootkittet (download her som zip-fil til Windows-pc). Symantec opfordrer brugerne til at erstatte rootkit-inficerede drivere med nye kopier.
Det er dog Microsofts hensigt at stille en løsning til rådighed til at fjerne Alureon-rootkittet fra inficerede pc'er, men Reavey oplyser, at der vil gå "nogle få uger," før den er klar.
Før i tiden har Microsoft brugt sit Værktøj til fjernelse af skadelig software, som er et gratis program, der opdateres på hver af Microsofts regelmæssige opdateringstirsdage, til at fjerne rootkits. Den næste planlagte opdatering af Værktøj til fjernelse af skadelig software ligger 9. marts om næsten tre uger.
Da rootkittet kun inficerer 32 bit-versioner af Windows, er Microsoft igen begyndt at udsende MS10-015 til 64 bit-systemer via den automatiske opdatering.
Oversat af Thomas Bøndergaard
