部份Windows XP用户更新蓝屏原因是rootkit恶意程序所为
导读:据微软安全回应中心(MSRC)总监Mike Reavey在博客中发布的消息,以及微软的调查显示,部份使用者更新MS10-015修补程序之后之所以会有蓝色死亡屏幕并无法重新开机,是因为电脑感染了恶意程序,特别是名为Alureon的rootkit隐身程序。
农历年前微软例行性释出安全修补程序之后,旋即发现部份Windows XP使用者反馈,在安装完MS10-015更新后会出现蓝色屏幕且电脑无法再开机的情况。据微软调查结果,原来是使用者电脑被Alureon rootkit感染所引起,与修补程序品质无关。
微软表示,与客户以及第三方应用软体商合作检验了诸多的内存转存(dumps)资料之后发现,电脑之所以会重开机是因为Alureon rootkit修改了Windows Kernel的二元代码(binaries),而让系统变得不稳定。
微软强调,所有的案例皆显示,MS10-015并没有品质问题。因此微软建议:使用仍可继续部署该安全更新,并务必确保电脑上的杀毒软件有最新的更新。
所谓的Rootkit,是一种隐身程序,通常黑客用这种程序来隐藏其他恶意程序,好让PC使用者不会发现电脑已受恶意程序感染。微软说明,Alureon作者企图存取特殊的内存位置以改变Windows的行为,让使用者安装MS10-015补强程序之后造成Windows程序代码位置的改变。而在电脑重新开机时,恶意程序的程序代码会尝试呼叫Windows程序代码中的特殊位址,但事实上该功能已不存在于OS里。
微软已有“核心补强保护”(Kernel Patch Protection,也就是PatchGuard)以及“核心模式程序代码签署”(Kernel Mode Code Signing, KMCS)等技术避免Windows Kernel的毁损,这两项功能在64位元版的Windows中都已具备,也因此微软所检查到的各种不同的Alureon版本都只影响32位元版的Windows电脑。有监于此,微软表示,以一般使用者帐号执行系统会比管理者帐号来得安全,较可避免这类感染。
微软承诺,目前正着手找出更简单的方法,以协助使用者在受感染的电脑上侦测与移除Alureon,预计在在几周内将可释出。
微软表示,在释出最新的安全更新之后,2月10日开始注意到Windows XP SP2及SP3系统在安装MS10-015修补程序之后会有无法重新开机的问题。而在接到很多相关通报之后,开始停止MS10-015的自动更新,以将可能的损害降到最低。
转截请注明:文章来自 pc捍卫者 http://www.pchwz.com
本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点