«Синий экран смерти», о котором мы уже сообщали ранее, появился на некоторых ПК после установки последних обновлений для Windows, которое и помогло выявить присутствие руткита семейства TDSS. Как оказалось, третье поколение этих серьезных зловредов (в классификации ЛК Rootkit.Win32.TDSS), представители которого были обнаружены на пострадавших компьютерах, конфликтует с одним из тринадцати патчей, разосланных Microsoft на прошлой неделе. Руткит TDSS/TDL3 работает на уровне ядра: внедряется в системный драйвер Windows и создает собственную виртуальную файловую систему, в которой прячет основной код. Для маскировки своего присутствия он перехватывает системные функции (Windows API), отыскивая их по разнице между виртуальным и базовым адресами (RVA), которую вычислил в процессе инсталляции. После установки на зараженный компьютер патча MS10-015 RVA-адреса поменялись. При перезапуске Windows адрес, запрошенный руткитом, оказался неправильным, и эта ошибка привела к зависанию системы и появлению BSoD — «синего экрана смерти» (Blue Screen of Death). Исправить положение можно, устранив зловреда. Для этого следует заменить зараженный драйвер чистой копией. Вероятнее всего, это будет atapi.sys, хотя возможны и другие варианты. Можно пролечить систему с помощью специальной утилиты — такой, как TDSSKiller, разработанная в ЛК. Microsoft проводит собственное расследование, но пока не нашла других причин, которые могли бы вызвать аналогичный сбой. По словам экспертов, зловред поразил только ОС Win32, включая Vista и Windows 7. Дело, видимо, в том, что в 64-битных версиях систем MS используются дополнительные технологии, позволяющие усилить защиту ядра. Патч MS10-015 изъят из службы Windows Update до окончания расследования. В лагере противника инцидент с «синим экраном» тоже не прошел незамеченным. За несколько часов авторы TDL3 обновили билд, и зловреду уже не страшна установка MS10-015. По свидетельству Symantec, им пришлось для этого даже отключить большинство своих ботов. Компонент режима пользователя теперь называется не tdlcmd.dll, а z00clicker.dll. Новая версия распространяется так же быстро и теми же методами — через торренты и варез-сайты. Эксперты английской компании Prevx, которые с особым вниманием отслеживают эволюцию TDSS, отмечают, что вирусописатели трудятся над своим детищем не покладая рук. Последние несколько месяцев обновления выпускались ежедневно, иногда даже несколько раз в сутки.