セキュリティホール memo(情報元のブックマーク数)

IT セキュリティ

そっちだったんですか・・・特定の種類のrootkitに感染している場合にBlueScreenになってしまっていた模様。

MS10-015 の件ですが、どうやら、特定の種類の rootkit にヤラレていると、 MS10-015 patch (kernel patch です) を適用・再起動した段階で

  • rootkit が想定している kernel 状態と
  • 実際の kernel 状態 (MS10-015 patch に基づく kernel 状態)

との間に不整合が生じて、結果としてブルー画面になるようで。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2010/02.html20100215_tuiki

公式に情報が出ましたねー>MS

一部のお客様でMS10-015を適用後に再起動やブルースクリーンが発生する報告があり、引き続き調査を進めています。
これまでの調査では、システム上のマルウェアがこの動作を引き起こすことが分かっています。
その他の原因等の詳細については、調査中ですが、追ってこのブログでも報告します。

[続報] MS10-015で再起動やブルースクリーンが発生する件について – 日本のセキュリティチーム

Alureonルートきっとのせいだそうです。

一部のお客様環境でMS10-015を適用後にブルースクリーンが発生するという報告を確認しており、原因調査の結果、マルウェア (Alureonルートキット)が原因で現象が発生することが分かりました。この予期せぬ再起動は、Alureon ルートキットWindows カーネルのバイナリを不正に改変することに起因し、それによりシステムが不安定になるために発生します。このAlureon ルートキットは、他社ベンダーがTDSSと名称しているものと同じです。

[続報2] MS10-015での再起動やブルースクリーンは、マルウェアが原因 – 日本のセキュリティチーム

駆除ツールも準備しているそうです。自動配信も来月追加ってことかな?

Microsoft ForefrontMicrosoft Security Essentialsを初めとするウイルス対策ソフトを導入していれば、Alureonルートキットがインストールされるような挙動を検知することができますが、Alureon ルートキットが既に動作している場合には、ルートキットがOSの最下層まで潜んでしまうため、検出が非常に困難な状態になります。感染している可能性がある、もしくは感染しているかどうかが不明なお客様のために、マイクロソフトは、既にルートキットが動作しているシステムからAlureonを検出、駆除するツールを現在開発しており、数週間以内に提供予定です。32ビット版システムへの自動配信についてもツールの提供時期を考慮して再開する予定です。

[続報2] MS10-015での再起動やブルースクリーンは、マルウェアが原因 – 日本のセキュリティチーム

マイクロソフトが10日に公開した月例セキュリティ更新プログラム(修正パッチ)「MS10-015」の適用後に、Windowsブルースクリーン状態になるという報告が寄せられている。マイクロソフトは18日、この現象はマルウェアが原因で発生することが判明したと発表した。
マイクロソフトによると、一部のユーザーから「MS10-015」の適用後にブルースクリーンが発生するという報告を受け、原因を調査した結果、マイクロソフトが「Alureon」と呼ぶrootkitが原因で発生することが判明。AlureonがWindowsカーネルのバイナリを不正に改変することに起因し、これによりシステムが不安定になるため発生するという。Alureonは、KaperskyやSophosでは「TDSS」という名称が付けられている。

「MS10-015」のブルースクリーン問題はマルウェアが原因 -INTERNET Watch Watch

関連URL

screenshot