Az Alureon, más néven TDSS, Tidserv, TDL3 nevű rootkit felelős a windowsos kékhalál-jelenségért – erősítette meg független szakértők véleményét a Microsoft. Mint korábban beszámoltunk róla, a hibajelenségről hosszú bejegyzések születettek a Microsoft egyik terméktámogatási fórumán, ahol a felhasználók arra panaszkodnak: a legutóbbi „foltozó kedd” alkalmával érkezett frissítések installálása után a Windows szokás szerint újraindul, de még betöltődés előtt kékhalált szenved el. Manuális újraindítást követően többen is megpróbálták csökkentett módban futtatni a rendszert, de így sem jártak sikerrel. A fórumon főképp XP-s felhasználók bosszankodtak, de mint kiderült, a Vistát és a Windows 7-et is érinti a probléma (csak a 32 bites változatokat).

A Microsoft Security Response Center (MSRC) csoport megállapította: a kernelben lévő sérülékenység orvoslására kiadott, egyébként fontos besorolású MS10-015-ös patch telepítése okozza a nehézségeket. A frissítést azonnal eltávolították a Windows Update felületéről, telepítése hivatalosan nem javasolt.

Miután a hibajelenség publicitást kapott, több szakértő is ugyanarra a következtetésre jutott: egy rendkívül nehezen detektálható rootkites fertőzés állhat a kékhalál mögött, amely orvul beássa magát az operációs rendszer fontos eszközmeghajtói közé. Patrick W. Barnes először az atapi.sys állományban bukkant rá a megoldás kulcsára, de később kiderült: más eszközmeghajtókat is érinthet a fertőzés, ezért korántsem biztos, hogy a telepítőlemezről történő felülírás, frissítés biztosan beválik ellenszerként. Szerencsére a Kaspersky biztonságtechnikai cég már letölthetővé tett egy ingyenes programot, amelyet kifejezetten az Alureon elpusztítására írtak.

Természetesen más gyártók termékei is képesek azonosítani és kiiktatni a kártevőt, de az egésznek semmi értelme, ha a Windowst nem tudjuk betöltődésre bírni. Ekkor két megoldás segíthet: a rendszerfájlokat tartalmazó merevlemez átkötése egy működő platform alá, majd a partíció alapos szkennelése, a fertőzés eltávolítása; a macerásabb B-verzió bizonyos .sys kiterjesztésű fájlok (a már említett atapi.sys, iastor.sys, ndis.sys stb.) cseréje az eredeti, tiszta változatra a telepítőlemez segítségével. Mint írtuk, a mutatvány sikere sajnos nem garantált, mert nem tudhatjuk, melyik fertőzött fájl a ludas. Végeredményben könnyen elképzelhető, hogy a rendszer helyreállítása bonyolultabb és időigényesebb feladat, mint a komplett újratelepítés.

A Microsoft sem gondolja másképp. „Amennyiben a felhasználó nem képes az általa választott vírusirtó segítségével megszabadulni a fertőzéstől, a legjobb megoldás egy biztonsági másolat készítése a fontos fájlokról, a rendszer újratelepítése” – írják az MSRC blogjában. (A biztonsági másolat készítéséhez előbb hozzá kell férni a fájlokhoz: át kell kötnünk a merevlemezt egy működő PC-re.) A vállalat azt is közölte, „néhány héten belül” elkészülnek egy saját programmal, amely megkeresi és elpusztítja a kártevőt.