セキュリティホール memo(情報元のブックマーク数)
そっちだったんですか・・・特定の種類のrootkitに感染している場合にBlueScreenになってしまっていた模様。
MS10-015 の件ですが、どうやら、特定の種類の rootkit にヤラレていると、 MS10-015 patch (kernel patch です) を適用・再起動した段階で
- rootkit が想定している kernel 状態と
- 実際の kernel 状態 (MS10-015 patch に基づく kernel 状態)
との間に不整合が生じて、結果としてブルー画面になるようで。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2010/02.html20100215_tuiki
公式に情報が出ましたねー>MS
一部のお客様でMS10-015を適用後に再起動やブルースクリーンが発生する報告があり、引き続き調査を進めています。
[続報] MS10-015で再起動やブルースクリーンが発生する件について – 日本のセキュリティチーム
これまでの調査では、システム上のマルウェアがこの動作を引き起こすことが分かっています。
その他の原因等の詳細については、調査中ですが、追ってこのブログでも報告します。
Alureonルートきっとのせいだそうです。
一部のお客様環境でMS10-015を適用後にブルースクリーンが発生するという報告を確認しており、原因調査の結果、マルウェア (Alureonルートキット)が原因で現象が発生することが分かりました。この予期せぬ再起動は、Alureon ルートキットがWindows カーネルのバイナリを不正に改変することに起因し、それによりシステムが不安定になるために発生します。このAlureon ルートキットは、他社ベンダーがTDSSと名称しているものと同じです。
[続報2] MS10-015での再起動やブルースクリーンは、マルウェアが原因 – 日本のセキュリティチーム
駆除ツールも準備しているそうです。自動配信も来月追加ってことかな?
Microsoft Forefront、Microsoft Security Essentialsを初めとするウイルス対策ソフトを導入していれば、Alureonルートキットがインストールされるような挙動を検知することができますが、Alureon ルートキットが既に動作している場合には、ルートキットがOSの最下層まで潜んでしまうため、検出が非常に困難な状態になります。感染している可能性がある、もしくは感染しているかどうかが不明なお客様のために、マイクロソフトは、既にルートキットが動作しているシステムからAlureonを検出、駆除するツールを現在開発しており、数週間以内に提供予定です。32ビット版システムへの自動配信についてもツールの提供時期を考慮して再開する予定です。
[続報2] MS10-015での再起動やブルースクリーンは、マルウェアが原因 – 日本のセキュリティチーム
マイクロソフトが10日に公開した月例セキュリティ更新プログラム(修正パッチ)「MS10-015」の適用後に、Windowsがブルースクリーン状態になるという報告が寄せられている。マイクロソフトは18日、この現象はマルウェアが原因で発生することが判明したと発表した。
「MS10-015」のブルースクリーン問題はマルウェアが原因 -INTERNET Watch Watch
マイクロソフトによると、一部のユーザーから「MS10-015」の適用後にブルースクリーンが発生するという報告を受け、原因を調査した結果、マイクロソフトが「Alureon」と呼ぶrootkitが原因で発生することが判明。AlureonがWindowsカーネルのバイナリを不正に改変することに起因し、これによりシステムが不安定になるため発生するという。Alureonは、KaperskyやSophosでは「TDSS」という名称が付けられている。
関連URL
- MS、「MS10-015」の配信を停止--「死のブルースクリーン」障害発生の報告受け - Editor’s FYI - ZDNet Japan
- The Microsoft Security Response Center (MSRC) : Update - Restart Issues After Installing MS10-015 and the Alureon Rootkit
- ブルースクリーン問題はマルウェアが原因と特定、MSが駆除ツールを開発中 - ITmedia エンタープライズ
- MS10-015 may cause Windows XP to blue screen (but only if you have malware on it)
- MS、月例パッチ適用後に起きた不具合はマルウェア感染が原因と説明 - セキュリティ - ZDNet Japan
- MS、月例パッチ適用後に起きた不具合はマルウェア感染が原因と説明:ニュース - CNET Japan