Luego de las 13 actualizaciones de sistema operativo de Microsoft del pasado martes, algunos usuarios en diferentes lugares del mundo han reportado una BSoD (Blue Screen of Death) en sus Windows XP, con el mensaje "PAGE_FAULT_IN_NONPAGED_AREA" y que obliga a reiniciar el sistema una y otra vez.
Inicialmente se pensó que este comportamiento era causado por el parche MS10-015, hubo cientos de noticias y comentarios en diversos medios y se generó mucha confusión al respecto. Microsoft también investigó el problema debido a la posibilidad de millones de clientes potencialmente afectados y dejó de ofrecer la actualización a través de Windows Update. Debido a que el problema sólo afecta a usuarios hogareños, las empresas pueden seguir aplicando la actualización a través de herramientas como WSUS o SMS.
Posteriormente se conoció que en la mayoría de los sistemas afectados involucraban al archivo atapi.sys (hubo otros), el cual no había sido modificado por la actualización mencionda. Reemplazando el archivo afectado el problema se solucionaba y por eso se publicó un procedimiento temporal para solucionar el inconveniente.
Luego de reunir suficientes casos de estudio y de la investigación apropiada se llegó a la conclusión de que en realidad los Windows XP afectados eran aquellos que previamente habían sido infectados con una variante del rootkit Olmarik el cual intenta acceder a una posición de memoria determinada y, luego de la actualización del kernel del sistema operativo, esta dirección causa el error de paginado mencionado.
Destaco también que los usuarios de ESET NOD32 siempre estuvieron protegidos debido a la detección proactiva de las distintas variantes de Olmarik. Para aquellos usuarios que no utilizan ESET NOD32, también contamos con una herramienta de limpieza de dicho rootkit.
Como conclusión, es sabido que la infección con malware puede hacer que el sistema operativo funcione erráticamente y este sin dudas es un caso extremo. Esta lección debe enseñarnos la importancia del uso de herramientas de protección proactivas que aseguren el entorno informático ante cualquier tipo de aplicación creada con la intención de modificar el sistema y esto incluye al malware y también a los patch (como también pasó hace poco) cracks, warez, y otros tantos software creados por delincuentes.
Cristian Borghello
Director de Educación
