微軟MS10-015更新XP可能出現藍底白字 - Windows

微軟：XP更新藍色死亡畫面是rootkit攪的鬼 文/郭和杰 (記者) 2010-02-22


微軟強調，所有的案例皆顯示，MS10-015並沒有品質問題。因此微軟建議：使用仍可繼續
部署該安全更新，並務必確保電腦上的防毒軟體有最新的更新。


農曆年前微軟例行性釋出安全修補程式之後，旋即發現部份Windows XP使用者回報，在安
裝完MS10-015更新後會出現藍色螢幕且電腦無法再開機的情況。據微軟調查結果，原來是
使用者電腦被Alureon rootkit感染所引起，與修補程式品質無關。


微軟安全回應中心（MSRC）總監Mike Reavey在部落格中表示，根據微軟的調查結果，部
份使用者更新MS10-015修補程式之後之所以會有藍色死亡螢幕並無法重新開機，是因為電
腦感染了惡意程式，特別是名為Alureon的rootkit隱身程式。微軟表示，與客戶以及第三
方應用軟體商合作檢驗了諸多的記憶體轉存（dumps）資料之後發現，電腦之所以會重開
機是因為Alureon rootkit修改了Windows Kernel的二元碼（binaries），而讓系統變得
不穩定。


微軟強調，所有的案例皆顯示，MS10-015並沒有品質問題。因此微軟建議：使用仍可繼續
部署該安全更新，並務必確保電腦上的防毒軟體有最新的更新。


所謂的Rootkit，是一種隱身程式，通常駭客用這種程式來隱藏其他惡意程式，好讓PC使
用者不會發現電腦已受惡意程式感染。微軟說明，Alureon作者企圖存取特殊的記憶體位
置以改變Windows的行為，讓使用者安裝MS10-015補強程式之後造成Windows程式碼位置的
改變。而在電腦重新開機時，惡意程式的程式碼會嘗試呼叫Windows程式碼中的特殊位址
，但事實上該功能已不存在於OS裡。


微軟已有「核心補強保護」（Kernel Patch Protection，也就是PatchGuard）以及「核
心模式程式碼簽署」（Kernel Mode Code Signing, KMCS）等技術避免Windows Kernel的
毀損，這兩項功能在64位元版的Windows中都已具備，也因此微軟所檢查到的各種不同的
Alureon版本都只影響32位元版的Windows電腦。有鑑於此，微軟表示，以一般使用者帳號
執行系統會比管理者帳號來得安全，較可避免這類感染。


微軟表示，在釋出最新的安全更新之後，2月10日開始注意到Windows XP SP2及SP3系統在
安裝MS10-015修補程式之後會有無法重新開機的問題。而在接到很多相關通報之後，開始
停止MS10-015的自動更新，以將可能的損害降到最低。


微軟承諾，目前正著手找出更簡單的方法，以協助使用者在受感染的電腦上偵測與移除
Alureon，預計在在幾周內將可釋出。（編譯/郭和杰）


來源：http://www.ithome.com.tw/itadm/article.php?c=59642

--