Nem fenyeget sok Windowst a fekete halál

A brit Prevx biztonsági cég december másodikán kelt blogbejegyzése szerint öt nap alatt több mint ötvenezren töltötték le az először általuk publikált windowsos fekete halált orvosló javítófoltot. Ennek alapján persze még nem lehet tudni, hogy valójában hány felhasználón segített a Prevx által kínált megoldás, és hányan szembesültek más okból a rendszerindítás után elsötétülő windowsos képernyővel, aminek ugyanis a brit cég szerint is számos különböző oka lehet.

A Microsoftot mindenesetre nem árasztották el a röviden KSoD-nak (a blacK Screen of Death rövidítése, amelyet az első betű különböztet meg a kezdőbetűk miatt ugyanígy rövidíthető kék haláltól, a Blue Screen of Death-től) nevezett hiba miatti panaszok. A szoftvercég munkatársai idehaza sem értesültek arról, hogy a novemberi frissítéseket követően fekete halállal fogadta volna őket a Windows - tudtuk meg Tóth Andrástól, a cég windowsos üzletágának hazai vezetőjétől.

Hivatalosan nem a frissítéstől van

A brit biztonsági cég blogján a hozzászólásokban több tucat felhasználó számolt be különféle fekete képernyős tapasztalatokról, amelyeket vagy maguk a szoftverfrissítések, vagy biztonsági szoftverek, vagy - ahogyan a Microsoft is valószínűsíti - kártevők okoztak. A hiba az ottani beszámolók szerint Windows XP-n, Windows Vistán és Windows 7-en egyaránt jelentkezett, és a Prevx szerint a Windows NT-t és a különböző Windows Server verziókat (2000, 2003 és 2008) egyaránt fenyegeti.

Az azonban biztosnak tűnik, hogy írjanak is bármit a felhasználók a Prevx-nél, nem a Microsoft novemberi frissítései miatt kezdett el terjedni a windowsos gépeken a fekete halál. A cég vezérigazgatója, Mel Morris az első KSoD-ről szóló blogbejegyzés óta kétszer kért bocsánatot a szoftvercégtől, amiért első körben ezt állították. A szakember magyarázata szerint azért kezdtek először a szoftverfrissítések körül vizsgálódni, mert ügyfeleik az ezek telepítése utáni időszakban tapasztalták gépeiken a fekete halált.

A Prevx először ugyan azonosított két olyan patchet, amelyeket először a KSoD okának láttak, de hamarosan visszakoztak. A Microsoft saját vizsgálata is megállapította, hogy a frissítések nem írják át a biztonsági cég által a probléma forrásaként azonosított paramétereket. Kártevők viszont elképzelhető, hogy igen, és a redmondi szoftvercég is trójai vírusokat lát a fekete halál hátterében.

A Microsoft régebbi kártevőt okol

A Microsoft szakemberei szerint a Daonol család okozhatja a Windows kezdőképernyőjének ugyanolyan elsötétülését, mint amiről most a Prevx-nél panaszkodnak a felhasználók. A trójaival kapcsolatos problémát azonban már két hónappal ezelőtt, októberben fedezték fel, amikor mind az F-Secure, mind a Microsoft felfigyelt erre, akkor Magyarországon is érkezett miatta bejelentés - mondta el Tóth András. Akkor az volt a probléma, hogy a Windows XP októberi frissítései miatt a már megfertőzött gépeken a kártevő nem tudott teljesen betöltődni, és ezzel az egész operációs rendszer működését megbénította. (A jelenség részletes leírása és orvoslásának módja a Vírushíradó októberi cikkében olvasható.)

A Prevx szerint most viszont valami más a gond. Az említett trójai ugyanis az októberben frissített .dll-fájlok miatt akasztotta ki a rendszert, és csak XP-n okozott gondot, míg most szerintük a rendszerleíró adatbázis egyik paramétere a ludas. Ha ez az érték nem nullára végződik, akkor a Windows Shell nem tud rendesen betöltődni, és ez okozza a fekete képernyőt. Az értéket a Prevx szerint akár valamilyen kártevő, akár más szoftver módosíthatja úgy, hogy ez bekövetkezzen.

Egy nulla miatt bénul meg a Windows

A biztonsági cég szerint bizonyos körülmények között mindig reprodukálható a hiba, míg máskor véletlenszerűen jelentkezik, vagyis az említett paraméteren kívül más is állhat a hiba hátterében. E miatt a megállapítása miatt sokan egyszerűen hiteltelennek tekintették az egyébként neves vállalatnak számító Prevx fekete képernyős hibáról szóló beszámolóját. A brit szakemberek tehát csupán a fentebb említett registry paramétert tudták beazonosítani, azt, hogy közvetlenül mi okozta a Windowsok lebénulását, egyelőre (?) nem.

"Mind a kártevők, mind a biztonsági programok szoktak az említett registry-értéket is érintő trükkös önvédelmet alkalmazni, hogy a másik oldal ne tudja kilőni őket." - nyilatkozta a problémáról Fehér Tamás, a 2F Kft. vírusszakértője, partnerünk, a Vírushíradó egyik szerzője. A szakember szerint az viszont már baj, ha - mint ahogyan azt a Prevx ügyfelei is állítják - biztonsági szoftverek, víruskeresők okoznak ezzel kompatibilitási problémát a felhasználóknak, és az is elgondolkodtató, hogy ha a cégnek igaza van, a "robusztus" Windows rendszereket egyetlen nulla hiánya is meg tudja bénítani.

A fekete halál tehát egész bizonyosan létezik, ezt a biztonsági szakértők sem vonják kétsébe, de közel sem fenyeget olyan sok felhasználót, mint ahogyan azt a Prevx eredetileg állította. Emellett még mindig úgy tűnik, a vállalat a hiba javításával kapcsolatos ötvenezres számadattal is csak mentegetni próbálja magát a KSoD kockázatáról szóló első, túlzó kijelentések miatt, és hogy végül szolgál-e megbízható magyarázattal a jelenségre, még nem tudni.