Microsoft heeft bevestigd dat een rootkit de recente blauwe schermen bij Windows XP systemen veroorzaakte. Sommige gebruikers die op patchdinsdag beveiligingsupdate MS010-015 installeerden, kregen na het opnieuw opstarten een Blue Screen of Death. In eerste instantie werd gedacht dat een foute update de boosdoener was, waarop Microsoft de update terugtrok. Al gauw werd duidelijk dat het om malware ging. De door de TLD3 rootkit (ook bekend als Alureon) gemaakte aanpassingen, conflicteerde met de update. "Wat het systeem instabiel maakte", zegt Mike Reavey, directeur van het Microsoft Security Response Center (MSRC).

"Het probleem werd niet ontdekt als onderdeel van onze testprocedure, omdat als malware op het systeem actief is, systemen instabiel worden. Dit soort infecties laten de machine vaak in zo'n instabiele staat achter, dat het niet betrouwbaar te testen is." Volgens Reavey gebruiken virusschrijvers niet ondersteunende en potentieel destabiliserende methoden voor het infecteren van machines, omdat ze hun malware voor virusscanners willen verbergen. In het geval van de Alureon rootkit past die het Windows gedrag aan door een specifiek deel van het geheugen aan te roepen, in plaats van Windows het geheugenadres te laten bepalen. Beveiligingsupdate MS010-015 wijzigde dit deel van Windows, waardoor het systeem bij de volgende herstart crashte.

64-bit
Het probleem speelde alleen bij 32-bit Windows versies en dan voornamelijk Windows XP. De 64-bit versies van Microsoft's besturingssysteem zijn voorzien van Kernel Patch Protection (PatchGuard) en Kernel Mode Code Signing (KMCS), die geknoei met de kernel detecteren. De nu bekende versies van Alureon zijn dan ook niet in staat om 64-bit Windows versies te besmetten. "Daarnaast is het belangrijk dat het draaien als gebruiker met verminderde rechten in plaats van administrator een best practice is die in de meeste gevallen infecties door kernel mode malware voorkomt." Aangezien 64-bit Windows versies niet kwetsbaar zijn, maakte Microsoft voor deze systemen de Automatische Updates weer beschikbaar.

Formatteren
Aan de hand van verschillende tests ontdekte Microsoft dat de rootkit ervoor zorgt dat systemen niet meer normaal kunnen starten. "Dit soort besmettingen zijn ernstig, en als klanten de verwijdering van de Alureon rootkit via hun virusscanner niet kunnen bevestigen, is de veiligste oplossing dat de eigenaar van het systeem zijn belangrijkste bestanden back-upt en het systeem van een volledig geformatteerde schijf herstelt", aldus Reavey. De softwaregigant werkt aan een manier om de rootkit eenvoudiger van systemen te verwijderen. De oplossing zou binnen een paar weken moeten verschijnen.

De Alureon rootkit is voornamelijk in de Verenigde Staten een Groot-Brittannië actief. Inmiddels hebben de makers de malware zo aangepast, dat die geen blauw scherm meer veroorzaakt. "In kernel mode kunnen de kleinste fouten een Blue Screen of Death veroorzaken. Voeg daarbij een beetje luiheid, haast en een gebrek aan Quality Assurance toe en je kunt raden wat er gebeurt", zegt Mircea Ciubotariu van Symantec. Toch heeft het incident ook een positief gevolg. "Dit kan het begin van het einde van een zeer geavanceerde rootkit zijn. Helaas zijn het besmette eindgebruikers die uiteindelijk de prijs betalen." De virusbestrijder zag het aantal besmette machines sinds patchdinsdag kelderen.