Rootkit "Alureon" causó los pantallazos azules en la reciente actualización de Windows XP

Rootkit "Alureon" causó los pantallazos azules en la reciente actualización de Windows XP

por

bsod2Aparte de la actualización para detectar copias piratas de Windows 7, el martes de la semana pasada Microsoft publicó un parche (KB977165) para Windows que parece ser la causa de muchos dolores de cabeza para los usuarios de Windows XP.

Muchos usuarios se quejaron en distintos foros de ayuda de Microsoft ya que después de la actualización recibieron como premio una flamante pantalla azul de la muerte (BSOD). La responsable de esto es la actualización MS10-015, que contenía actualizaciones de seguridad para corregir 26 vulnerabilidades, incluyendo un bug que había estado por 17 años en el kernel en todas las versiones de 32 bits de Windows. La vulnerabilidad se hizo pública hace tres semanas cuando un ingeniero de Google anunció el fallo y publicó una prueba del código de ataque. El error que sería parchado con esta actualización, está relacionado con la Máquina Virtual DOS (VDM) que se utiliza para apoyar las aplicaciones de 16 bits.

Tras investigar, Microsoft afirmó que el parche por si mismo no es el responsable de las BSOD, sino que éstas son el resultado de una infección existente por el rootkit Alureon, un paquete de malware sofisticado que incluye una serie de componentes, incluyendo un rootkit, la funcionalidad de búsqueda para realizar hijacking (secuestro remoto de equipo) y la capacidad de modificar la configuración de DNS.

Uno de los cambios que hace cuando está instalado el malware es la modificación de un controlador específico en los equipos que utilizan unidades de disco duro ATA, es decir el archivo "atapi.sys". El parche liberado por Microsoft modifica la manera en que se llega a ese archivo, por lo que cuando Alureon intenta hacer modificaciones o encontrar el archivo, hace un requerimiento inválido y el sistema se cae, mostrando una BSOD.

Los usuarios afectados pueden arreglar este problema mediante la sustitución de dicho driver , a través de la consola del sistema.

Links:
Microsoft investigating claims of wide spread BSODs due to recent patch (Neowin)
MS10-015 Restart Issues Are the Result of Rootkit Infection (Theatpost, vía Slashdot)