Reštarty XP sú spôsobené rootkitom. Vyřešeno

[brano]

Podľa spoločnosti Symantec, ktorá sa zaoberá bezpečnosťou, za problémami, s ktorými sa stretávajú používatelia Windows XP po inštalovaní záplat stojí rootkit Backdoor.Tidserv. Tento vírus sa snaží čo najviac skrývať pred antivírovým softvérom pomocou infekcie ovládačov jadra systému. Keď je aktívny, je obtiažne zistiť jeho prítomnosť v systéme, keďže je „zahrabaný“ príliš hlboko.
Tidserv spravidla infikuje ovládač atapi.sys, avšak nie je to pravidlom. Tesne po načítaní systémom zistí adresy API, ktoré používa pre alokáciu pamäte, do ktorej načíta škodlivý kód.
Tieto adresy sú získavané pomocou akýchsi „konštánt“, ktoré sú napevno zadané v kóde jadra – Relative Virtual Address/RVA. Microsoft nedávno vydal patch, ktorý okrem iného aktualizuje niektoré moduly jadra.
Nanešťastie, po aplikácii patchu na infikovaný systém sa tieto RVA adresy menia, čo znamená, že infikovaný kód sa snaží pristupovať k nesprávnym adresám. Kvôli tomu každý štart systému skončí s neslávne známou modrou obrazovkou – BSOD.
Čo je horšie, keďže ide o kritický ovládač, nepodarí sa ani boot do Safe Mode režimu. Jedinou možnosťou je nahradenie poškodeného ovládača atapi.sys nabootovaním z inštalačného CD, alebo pripojením disku k inému, funkčnému systému. Ovládač nájdeme v adresári \%Windir%\system32\drivers. Ak by oprava nepomohla, infekcia sa môže nachádzať aj v súboroch iastor.sys, idechndr.sys, ndis.sys, nvata.sys alebo vmscsi.sys. Ďalšie informácie ponúka i blog Microsoft Security Response Centra.

[Reklama]

[MiliNess]

Dost přehnané a je vidět, že člověk který ten článek psal, až tak nevěděl, o čem píše.
Navíc je dnes dost těžké skrýt nějaký ovladač, jelikož už byly vyčerpány asi všechny metody jak to realizovat, takže detekce nebude pro kvalitní antirootkit zase takový problém.
Ale autor rootkitu by měl určitě radost.

[brano]

http://blogs.technet.com/msrc/archive/2 ... otkit.aspx