Ayant eu échos de BSoD ( Blue Screen of Death ) survenus auprès de certains utilisateurs Windows XP après l'application d'une mise à jour contenue dans son Patch Tuesday de février, Microsoft a décidé de retirer cette dernière d'une diffusion via Windows Update ( voir notre actualité ). La firme de Remond, qui poursuit ses investigations, a toutefois ajouté quelques détails à son alerte. Plus que la mise à jour, les soupçons semblent se tourner désormais vers un malware.

L'éditeur de solutions de sécurité Symantec se montre plus bavard à ce sujet et donne un nom au coupable présumé : le rootkit Tidserv. Par nature, c'est un malware difficile à détecter qui peut être présent sur l'ordinateur depuis un certain temps, sans que l'utilisateur n'en ait jamais eu conscience.

Selon Symantec, Tidserv infecte principalement des pilotes noyau de bas niveau comme atapi.sys. D'après le scénario de Symantec, le correctif KB977165 ( MS10-015 ) de Microsoft a comblé une vulnérabilité au niveau du noyau ( kernel ) et a mis à jour ses modules. Après cette mise à jour, " des adresses virtuelles relatives pour des API ont changé, de fait les pilotes infectés ont appelé des adresses invalides, et donc la cause des écrans bleus à chaque démarrage de Windows ".

Considéré comme critique pour le démarrage de Windows, le pilote atapi.sys peut ne pas être le seul infecté par Tidserv. Symantec dresse ainsi une liste : iastor.sys, idechndr.sys, ndis.sys, nvata.sys, vmscsi.sys. Le cas échéant, l'éditeur recommande de remplacer manuellement ces fichiers avec des fichiers sains, en démarrant par exemple l'ordinateur depuis le CD de Windows et avec la console de récupération. Il faudra bien évidemment également penser à desinfecter l'ordinateur avec un antivirus à jour.