Obecność ciężkiego do wykrycia rootkita spowodowała, że komputery z Windows XP zawieszają się przy bootowaniu po dodaniu zeszło wtorkowej aktualizacji. Problem powiązany jest z aktualizacją MS10-015 łatającą poważną lukę w jądrze. Podczas gdy na polu trojanów widzimy prawie te same rozwiązania to na polu rootkitów dokonuje się znaczna ewolucja…
Rootkit TDSS jest uważany jako jeden z najlepiej zamaskowanych rootkitów na wolności. Stoi za nim zaawansowana grupa, która często stosuje mechanizmy unikania anty-rootkitów. Obecna infekcja posiada najlepsze cechy Bootkitu, Rustock.C i doświadczenie wcześniejszych wariantów TDSS. Efektem tego jest infekcja, która szybko się rozprzestrzenia i jest poza wykrywalnością przez prawie każde oprogramowanie antywirusowe i anty-rootkitowe. Rezyduje w ostatnich sektorach dysku poza systemem plików i szyfruje w locie swoje komponenty podczas dostępu do dysku. Startując z Windowsem infekuje sterowniki wejścia/wyjścia dysku nadpisując sekcje zasobów pliku PE (portable executable np. dll) ostatniego sterownika 824 bajtami swojego kodu. Robiąc to unika anty-rootkitów sprawdzających rozmiar plików. Następnie filtruje wszystkie odczyty i zapisy dysku skutecznie się ukrywając i funkcjonując. Większość użytkowników nie zdaje sobie sprawy, że ich komputer jest częścią bot-netu ,niektórzy dostają monit od antywirusa,o wykryciu obecności plików tdlcmd.dll lub tdlwsp.dll z czym niewiele mogą zrobić.
Zespół Microsoftu potwierdził, że ten rootkit może powodować BSOD,nie wykluczając jeszcze wszystkich innych możliwości. Microsoft namawia do przesyłania zrzutów pamięci, problem w tym, że na dotkniętych komputerach Windows się nie uruchamia. Szokujące wydaje się, że Microsoft wdrażając aktualizacje nie testuje ich z dominującymi rootkitami na rynku pod względem kompatybilności 😉