Dziurawy wirus, czyli dwa kłopoty w jednym

Twórcy wirusów to też ludzie i zdarza im się popełniać błędy. To, że złośliwe programy coraz częściej tworzone są przez przestępcze organizacje, pracujące na podobieństwo zwykłych firm, nie oznacza, że ich produkty są w 100% wolne od błędów i luk w zabezpieczeniach. Ich wpływ na działanie wirusa czy trojana bywa różny – niekiedy sprawiają, że program nie działa poprawnie i nie jest uciążliwy dla użytkownika-ofiary, ale czasem zdarza się, że niezaplanowane przez autora działanie dodatkowo komplikuje walkę ze złośliwym oprogramowaniem…


Kilka lat temu głośna była sprawa aktualizacji dla Windows, która powodowała masowe występowanie osławionego BSOD-u (potem okazało się, że winny był złośliwy program). Później pewien pechowy programista-amator przeprowadził komediowy wręcz atak na pewną francuską elektrownię, a w kwietniu tego roku zrobiło się głośno o wyjątkowo nieudanym programie typu ransomware. Przypadków pojawienia się w sieci złośliwego oprogramowania, które działało nie do końca zgodnie z intencjami autorów, było sporo – w poniższym tekście przypomnimy o najgłośniejszych z nich...

Czarny wtorek Microsoftu

Microsoft od początku XXI wieku mocno zmodernizował swój system przygotowywania i udostępniania użytkownikom poprawek dla Windows i innych swoich produktów – firma zrezygnowała z publikowania ich ad hoc, w przypadkowych porach i zaczęła udostępniać je regularnie, w konkretny dzień miesiąca (każdy drugi wtorek). Dla zwykłych użytkowników ta zmiana nie była być może szczególnie odczuwalna, ale firmowi administratorzy powitali ją z wielką ulgą – dzięki niej mogli wreszcie zacząć planować swoją pracę bez obawy, że oto nagle Microsoft w ramach niespodzianki zaprezentuje 26 poprawek dla Windows i Office, które trzeba będzie przeanalizować, przetestować i wdrożyć w firmowych maszynach. Życie administratorów zrobiło się nieco spokojniejsze i bardziej przewidywalne… ale tego, co wydarzyło się w pewien lutowy wtorek 2010 roku, nie przewidział nikt.

Osławiony "niebieski ekran śmierci" (BSOD), czyli bezpośredni skutek próby zaktualizowania zarażonego przez rootkit Alureon kernela Windows XP.

Osławiony "niebieski ekran śmierci" (BSOD), czyli bezpośredni skutek próby zaktualizowania zarażonego przez rootkit Alureon kernela Windows XP.

Tego dnia koncern z Redmond opublikował kolejny pakiet swoich poprawek, wśród których znalazło się uaktualnienie dla Windows XP, oznaczone MS10-015. Nie była to szczególnie ważna aktualizacja, oznaczono ją jako „ważną” (a nie np. krytyczną) – usuwała drobny błąd w kernelu systemu, pozwalający na tzw. eskalację przywilejów (innymi słowy, luka pozwalała użytkownikowi o niższych przywilejach na wykonanie operacji teoretycznie dla niego niedostępnych). Nic ważnego i nic nowego, Microsoft usunął już takich błędów setki i pewnie usunie ich w przyszłości znacznie więcej.

Mimo to aktualizacja MS10-015 okazała się wyjątkowa… do tego stopnia, że pewnie do dziś pojawia się w koszmarach niektórych administratorów i pracowników Microsoftu. Po jej zainstalowaniu system informował użytkownika, że niezbędny jest restart Windows, użytkownicy się na to zgadzali (bo to przecież standardowa operacja), i wtedy pojawiały się problemy.

Na forach pomocy technicznej Microsoftu (oraz setkach innych serwisów) zaczęły lawinowo pojawiać się komentarze o awariach, które wystąpiły po instalacji MS10-015. A konkretniej, o jednej awarii – niebieskim ekranie śmierci (BSoD – Blue Screen of Death), który pojawiał się po próbie ponownego uruchomienia systemu. Doniesienia były masowe, ale dość niespójne – problem z całą pewnością dotyczył znacznej liczby komputerów, pojawiał się na różnych maszynach i różnych wersjach XP… ale równie często nie pojawiał się wcale. Awaria była właściwie niemożliwa do usunięcia dla zwykłego użytkownika – nie działał tryb awaryjny i nie pomagały żadne standardowe metody rozwiązania problemu.

Winnym, rzecz jasna, natychmiast obwołano Microsoft – stwierdzono, że koncern zawalił sprawę (nie po raz pierwszy zresztą, co skrupulatnie odnotowywano), dostarczył wadliwą aktualizację i jest jedynym winnym kłopotów tysięcy użytkowników. Przedstawiciele koncernu z Redmond początkowo krytykę pokornie przyjmowali, cały czas prowadząc własne analizy sytuacji. Wyniki tych analiz okazały się zaskakujące i rzuciły na sprawę zupełnie nowe światło...