Vai al contenuto

Un malware alla base delle schermate blue verificatesi in seguito all’aggiornamento di Windows MS10-015.

BSOD In seguito al rilascio degli ultimi aggiornamenti per Windows avvenuto la settimana scorsa, alcuni utenti hanno malauguratamente verificato una catastrofica BSOD, ovvero la schermata blue della morte che sta a significare un errore del sistema che non permette a Windows il corretto funzionamento.

In tale circostanza ci si sono trovati parecchi utenti, soprattutto quelli che utilizzano Windows XP, e la patch incriminata è quella chiamata MS10-015. La Microsoft ha affrontato la questione, e spiegato che la causa della schermata blue potrebbe essere imputabile ad un malware intrufolatosi nel sistema operativo prima dell’aggiornamento, problema che però viene evidenziato solo dopo l’installazione.

In pratica, il malware, più precisamente un rootkit TDSS che infetta il file Atapy.sys, era già presente nel sistema, ma solo in seguito all’aggiornamento Windows non riesce più ad avviarsi.

Sul suo blog, Patrick W. Barnes ha pubblicato i risultati dei suoi tentativi di capire quale fosse la causa del BSOD e come recuperare la situazione.

L’aggiornamento in questione non ha causato più malfunzionamenti di Windows, se prima di installarlo si rimuove il malware, ma la Microsoft non esclude che potrebbero esserci anche altre cause.

In ogni modo, se vi trovate in tale situazione potete tentare di risolvere rimuovendo preventivamente il malware, oppure sostituendo il file Atapy.sys.

Se il sistema non si avvia, provate entrando in Modalità provvisoria, oppure tentando un Ripristino configurazione di sistema scegliendo l’ultimo punto funzionante (molto probabilmente quello creato automaticamente immediatamente prima dell’installazione della patch).

Una volta arrivati al desktop di Windows, eseguite una scansione del sistema con un antivirus aggiornato e solo dopo aver estirpato il rootkit eseguirete nuovamente l’aggiornamento del sistema.

Chi non riesce in questo modo, dovrà sostituire il file Atapy.sys infetto con quello integro prelevato dal CD di installazione di Windows.

  • Avviate il PC dal CD di Windows ed eseguite la Console di ripristino.
  • Identificate la lettera del drive ottico digitando il comando: map
  • Per sostituire il file Atapy.sys eseguite i seguenti comandi (sostituite “D” con la lettera del drive CD):

D:                                                                                                                                                                             cd system32\drivers
ren atapi.sys atapi.old
expand D:\i386\atapi.sy_

  • Verrà visualizzato il messaggio “1 file(s) expanded” il che significa che l’operazione ha avuto successo.

Riavviate il sistema, ed eseguite una scansione con un antivirus aggiornato. Potete anche avvalervi del tool TDSSKiller sviluppato da Kaspersky appositamente per rimuovere il rootkit in questione.

In alternativa, se non riuscite ad accedere a Windows potete provare a rimuovere il malware con un bootable antivirus, ovvero un software che può eseguire la scansione in fase di boot come ad esempio Trinity Rescue Kit, Kaspersky RescueDisk o Avira Rescue Disk.

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.