微软：XP更新蓝屏是rootkit搞的鬼

　　农历年前微软例行性释出安全修补程序之后，旋即发现部份Windows XP使用者反馈，在安装完MS10-015更新后会出现蓝色屏幕且电脑无法再开机的情况。据微软调查结果，原来是使用者电脑被Alureon rootkit感染所引起，与修补程序品质无关。

　　微软安全回应中心(MSRC)总监Mike Reavey在博客中表示，根据微软的调查结果，部份使用者更新MS10-015修补程序之后之所以会有蓝色死亡屏幕并无法重新开机，是因为电脑感染了恶意程序，特别是名为Alureon的rootkit隐身程序。微软表示，与客户以及第三方应用软体商合作检验了诸多的内存转存(dumps)资料之后发现，电脑之所以会重开机是因为Alureon rootkit修改了Windows Kernel的二元代码(binaries)，而让系统变得不稳定。

　　微软强调，所有的案例皆显示，MS10-015并没有品质问题。因此微软建议：使用仍可继续部署该安全更新，并务必确保电脑上的杀毒软件有最新的更新。

　　所谓的Rootkit，是一种隐身程序，通常黑客用这种程序来隐藏其他恶意程序，好让PC使用者不会发现电脑已受恶意程序感染。微软说明，Alureon作者企图存取特殊的内存位置以改变Windows的行为，让使用者安装MS10-015补强程序之后造成Windows程序代码位置的改变。而在电脑重新开机时，恶意程序的程序代码会尝试呼叫Windows程序代码中的特殊位址，但事实上该功能已不存在于OS里。

　　微软已有“核心补强保护”(Kernel Patch Protection，也就是PatchGuard)以及“核心模式程序代码签署”(Kernel Mode Code Signing, KMCS)等技术避免Windows Kernel的毁损，这两项功能在64位元版的Windows中都已具备，也因此微软所检查到的各种不同的Alureon版本都只影响32位元版的Windows电脑。有监于此，微软表示，以一般使用者帐号执行系统会比管理者帐号来得安全，较可避免这类感染。

　　微软表示，在释出最新的安全更新之后，2月10日开始注意到Windows XP SP2及SP3系统在安装MS10-015修补程序之后会有无法重新开机的问题。而在接到很多相关通报之后，开始停止MS10-015的自动更新，以将可能的损害降到最低。

　　微软承诺，目前正着手找出更简单的方法，以协助使用者在受感染的电脑上侦测与移除Alureon，预计在在几周内将可释出。(tyrael)