De makers van een rootkit die na het installeren van recente Windows XP updates voor een Blue Screen of Death zorgde, hebben hun malware gepatcht. Dat zegt Erik Loman van beveiligingsbedrijf Surfright tegenover Security.nl. Gisterenavond verscheen een nieuwe versie van de TDL3 rootkit, die met beveiligingsupdate MS010-015 compatibel is. Microsoft besloot na meldingen van blauwe schermen en defecte systemen de patch terug te trekken.

Dit weekend werd duidelijk dat de TDL3 rootkit voor de crashende systemen verantwoordelijk is. Het bestand dat de rootkit infecteert, in veel gevallen atapi.sys, werd op 9 februari door Microsoft gepatcht. De aanpassingen in de kernel conflicteerde met de aanwezige rootkit, met als gevolg dat veel gebruikers hun systeem moesten herstellen.

Zombies
Een onverwacht effect van de patch is dat veel gebruikers door het herstellen van het originele atapi.sys bestand, de malware van hun systeem hebben verwijderd. "Dit heeft ze heel veel zombies gekost, het aantal is drastisch gedaald", aldus Loman. Volgens hem is het aantal besmette machines gehalveerd. De makers van TLD3 omschrijft hij als "professionele jongens", die alle ontwikkelingen nauwlettend in de gaten houden. Het was dan ook geen verrassing dat de rootkit zou worden geüpdatet. De nieuwste versie veroorzaakt inmiddels geen blauw scherm meer.

Ook beveiligingsexperts hielden hier rekening mee en vroegen Microsoft dit weekend om de beveiligingsupdate weer uit te geven. Dit zou geïnfecteerde gebruikers waarschuwen dat er iets mis met hun systeem is. Sinds gisteren wordt MS010-015 door Microsoft weer aangeboden.

Update 13:18
Inmiddels is er een filmpje online verschenen dat laat zien dat de auteurs hun rootkit hebben gepatcht: