Microsoft przypuszcza, że przyczyną błędów spowodowanych instalacją poprawki MS10-015 może być złośliwe oprogramowanie zainstalowane w systemie. Podobne wnioski płyną z analiz wykonanych przez firmę Symantec.
Przypomnijmy, 9 lutego w ramach comiesięcznego cyklu aktualizacji Microsoft wydał poprawkę zabezpieczającą przed starą luką w Virtual DOS Machine. Szybko okazało się, że po instalacji poprawki u wielu użytkowników (najczęściej w systemie Windows XP) występuje błąd BSOD czyli tzw. niebieski ekran śmierci. W związku z doniesieniami o błędzie Microsoft wycofał aktualizację z usługi Windows Update.
Jerry Bryant we wpisie na firmowym blogu Microsoftu poinformował, że badania wykazały iż błąd BSOD występuje u użytkowników których system zarażony jest złośliwym oprogramowaniem. Oczywiście producent nie wyklucza, że może istnieć również inna przyczyna błędu dlatego problem jest wciąż analizowany. Bryant zapewnił, że przyczyna usterki zostanie zlokalizowana tak szybko jak to możliwe. Jednocześnie zapewnił, że pozostałe aktualizacje z 9 lutego są bezpieczne i należy je instalować.
Całej sprawie przyjrzał się również Symantec. Eksperci z tej firmy twierdzą, że przyczyną problemu jest rootkit z backdoorem o nazwie Backdoor.Tidserv. Złośliwe oprogramowanie infekuje sterowniki jądra niskiego poziomu, np. sterowniki IDE. Aktywny Tidserv ze względu na swoją specyfikę jest bardzo trudny do wykrycia nawet przez skanery antywirusowe. W związku z tym użytkownicy posiadający aktualne oprogramowanie antywirusowe mogą mieć ukrytego backdoora.
Symantec zaleca wgranie czystej kopii sterownika “atapi.sys” jednak zastrzega, że infekcja może dotyczyć również innych sterowników. Producent antywirusów podobnie jak Microsoft nie wyklucza że błąd spowodowany jest również przez inne czynniki jednak Tidserv jest jednym z najbardziej rozpowszechnionych zagrożeń który może wywoływać błąd.
Źródło: Microsoft, Symantec