Il y a des indications que le système se bloque et le redoutable écran bleu de la mort (BSoD) que de nombreux utilisateurs de Microsoft Windows ont déclaré souffrir après avoir installé le lot de mises à jour de sécurité de cette semaine pourrait être causé au moins en partie par des infestations de logiciels malveillants sur les machines concernées.
Patrick W. Barnesadministrateur système chez Cat-man-du, une entreprise de services technologiques d’Amarillo, au Texas, a déclaré qu’au moins trois clients différents sont entrés dans sa boutique avec le même écran bleu de la mort après avoir installé les correctifs de mardi sur leurs systèmes. Barnes a déclaré qu’en y regardant de plus près, il a découvert que chacun avait déjà été infecté par un rootkitun ensemble d’outils parfois installés par des logiciels malveillants et conçus pour masquer la présence de l’infection sur le système hôte.
Barnes a déclaré qu’il avait retracé le problème sur chaque machine jusqu’à « atapi.sys » – un pilote de stockage Windows (qui réside dans %System32drivers). Lorsqu’il a envoyé les fichiers atapi.sys qui se trouvaient sur les ordinateurs des clients pour une analyse à Virustotal.com, les résultats ont suggéré qu’un logiciel malveillant s’était injecté dans le fichier système.
Ce Analyse totale des virus pointé vers un rootkit furtif qui porte plusieurs noms différents, dont « TDSS » et « Pakes ». De son côté, l’outil antivirus Security Essentials de Microsoft détecte l’envahisseur comme Win32/Alureon.A.
Fait intéressant, Alureon fait partie des 10 principales menaces que les diverses technologies de sécurité de Microsoft — y compris son « outil de suppression de logiciels malveillants » — détectent régulièrement sur les systèmes Windows. Selon le propre rapport sur les renseignements de sécurité de Microsoft, les produits de sécurité de Microsoft ont supprimé près de 2 millions d’instances d’Alureon des systèmes Windows au premier semestre 2009 seulementcontre un demi-million au second semestre 2008.
Barnes a déclaré que « atapi.sys » constitue une cible attrayante pour un rootkit car il s’agit d’un composant central de Windows qui démarre tôt lors du premier chargement de Windows. « Il démarre très tôt dans le processus de démarrage et, à cause de cela, il rend ce type de menaces parfois très difficile à détecter et à supprimer », a déclaré Barnes lors d’un entretien téléphonique avec breachtrace.com.
Remplacer le fichier atapi.sys compromis par une version propre et connue fera redémarrer normalement les systèmes concernés, a déclaré Barnes. Il a des instructions pour faire exactement cela sur son blog. Vous aurez besoin d’avoir une copie du disque d’installation de Windows à portée de main.
J’exhorte tous ceux qui ont déjà récupéré d’un BSoD ou d’une boucle de redémarrage infinie après avoir installé les correctifs de cette semaine à analyser leurs systèmes avec plusieurs outils de sécurité différents, car le rootkit enfoui dans atapi.sys est probablement là pour masquer la présence d’un plus grand , infection malveillante plus systémique. La restauration à partir d’une sauvegarde connue serait idéale, mais la plupart des utilisateurs à domicile n’ont malheureusement pas d’images de sauvegarde sur lesquelles s’appuyer.
ESET, F-Secure, BitDefender, et plusieurs autres fournisseurs AV proposent des scanners en ligne gratuits qui peuvent supprimer les logiciels malveillants. De plus, F-Secure offre un service gratuit La lumière noire aussil qui fait un excellent travail pour rechercher et supprimer les rootkits. En outre, McAfeeest gratuit Outil de piqûre peut analyser et supprimer de nombreuses menaces.