Poco tempo fa, su tanti blog dedicati al colosso di Redmond, si leggevano lamentele su lamentele dovute a noiosissimi BSOD (Blue Screen Of Death, la celebre schermata di errore blu di Windows), del tutto simili a quello che potete vedere sopra (errore : DRIVER_IRQL_NOT_LESS_OR_EQUAL ), apparsi sui pc di molti utenti dopo l’installazione dell’aggiornamento KB977165. Microsoft è corsa immediatamente ai ripari, rilasciando una patch dopo pochi giorni, senza però avere chiaro esattamente cosa fosse successo. Bene,l’arcano mistero è stato svelato : questa volta il problema non è dovuto nè all’essere stati frettolosi, nè all’aver tralasciato qualche particolare… insomma, Microsoft non c’entra niente, il problema era già sulla macchina.

Il BSOD, infatti, non è provocato dall’aggiornamento in sè, ma da un conflitto…con un rootkit (nome in codice : TDL3/TDSS )! Eh si, praticamente la macchina era già infetta. Cerco di spiegarvi meglio cosa è successo in parole povere.
Supponiamo che sulla vostra macchina risieda tranquillamente il TDL3, e che voi non vi siate mai accorti di niente. Vi collegate a Windows Update e, visto che il KB9777165 viene (giustamente) contrassegnato come aggiornamento critico,lo installate. In pratica l‘aggiornamento in questione va a correggere un bug del kernel vecchio quanto Windows (circa 17 anni): la correzione avviene a livello kernel, di conseguenza potrebbero avvenire cambiamenti (e, di fatto, avvengono) sull’accesso alla memoria, sul calcolo degli offset, sulla sincronizzazione…e via dicendo. Ricapitolando, quindi, il KB977165 va a modificare il kernel di NT.
Dall’altra parte, però, sulla vostra macchina gira il TDL3 che è un rootkit “intelligente” : infatti non si carica soltanto a livello software, ma si instaura nei driver di periferica assicurandosi, quindi, l’accesso diretto al kernel (e, tramite il kernel, alla memoria). In sostanza, per effettuare operazioni maliziose, il TDL3 effettua un calcolo degli indirizzi delle funzioni da eseguire (il codice malevolo, per dirla in breve) basandosi proprio sulla struttura del kernel di Windows e sugli offsets delle istruzioni presenti in esso.
E’ qui che viene il bello : abbiamo detto che l’aggiornamento KB9771165 agisce a livello kernel, modificandone anche gli offsets; il rootkit, dal canto suo, cerca di utilizzare quelli scritti prima del rilascio dell’aggiornamento (probabilmente chi ha scritto il TDL3 non si aspettava una modifica simile da parte di qualche security update) , di conseguenza il sistema operativo questa volta si accorge dell’accesso illegale di un driver (perchè il rootkit è lì) alla memoria e…ed ecco apparire, come per magia, la schermata blu!
Detto in maniera ancora piu’ spicciola, diciamo che il rootkit si “finge” un driver accedendo alla memoria tramite il sistema operativo, dopo l’aggiornamento il sistema operativo stesso si accorge che c’è qualcosa che non va e, onde evitare spiacevoli sorprese, blocca tutto!
Purtroppo, però, non è finita qui : chi ha scritto il TDL3 ha reso immediatamente disponibile un aggiornamento (che si installa in automatico) che lo rende compatibile con il KB977165 e quindi ancora invisibile al sistema operativo.
In questo momento, quindi, siamo 2 a 1 per i “cattivi” : come farà Microsoft a correre ai ripari contro il TDL3 aggiornato?