微軟：XP更新藍色死亡畫面是rootkit攪的鬼

微軟強調，所有的案例皆顯示，MS10-015並沒有品質問題。因此微軟建議：使用仍可繼續部署該安全更新，並務必確保電腦上的防毒軟體有最新的更新。

農曆年前微軟例行性釋出安全修補程式之後，旋即發現部份Windows XP使用者回報，在安裝完MS10-015更新後會出現藍色螢幕且電腦無法再開機的情況。據微軟調查結果，原來是使用者電腦被Alureon rootkit感染所引起，與修補程式品質無關。

微軟安全回應中心（MSRC）總監Mike Reavey在部落格中表示，根據微軟的調查結果，部份使用者更新MS10-015修補程式之後之所以會有藍色死亡螢幕並無法重新開機，是因為電腦感染了惡意程式，特別是名為Alureon的rootkit隱身程式。微軟表示，與客戶以及第三方應用軟體商合作檢驗了諸多的記憶體轉存（dumps）資料之後發現，電腦之所以會重開機是因為Alureon rootkit修改了Windows Kernel的二元碼（binaries），而讓系統變得不穩定。

微軟強調，所有的案例皆顯示，MS10-015並沒有品質問題。因此微軟建議：使用仍可繼續部署該安全更新，並務必確保電腦上的防毒軟體有最新的更新。

所謂的Rootkit，是一種隱身程式，通常駭客用這種程式來隱藏其他惡意程式，好讓PC使用者不會發現電腦已受惡意程式感染。微軟說明，Alureon 作者企圖存取特殊的記憶體位置以改變Windows的行為，讓使用者安裝MS10-015補強程式之後造成Windows程式碼位置的改變。而在電腦重新開機時，惡意程式的程式碼會嘗試呼叫Windows程式碼中的特殊位址，但事實上該功能已不存在於OS裡。

微軟已有「核心補強保護」（Kernel Patch Protection，也就是PatchGuard）以及「核心模式程式碼簽署」（Kernel Mode Code Signing, KMCS）等技術避免Windows Kernel的毀損，這兩項功能在64位元版的Windows中都已具備，也因此微軟所檢查到的各種不同的Alureon版本都只影響32位元版的 Windows電腦。有鑑於此，微軟表示，以一般使用者帳號執行系統會比管理者帳號來得安全，較可避免這類感染。

微軟表示，在釋出最新的安全更新之後，2月10日開始注意到Windows XP SP2及SP3系統在安裝MS10-015修補程式之後會有無法重新開機的問題。而在接到很多相關通報之後，開始停止MS10-015的自動更新，以將可能的損害降到最低。

微軟承諾，目前正著手找出更簡單的方法，以協助使用者在受感染的電腦上偵測與移除Alureon，預計在在幾周內將可釋出。

資料來源：http://www.itis....e/3635