科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全微软:XP更新蓝屏是rootkit搞的鬼

微软:XP更新蓝屏是rootkit搞的鬼

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

农历年前微软例行性释出安全修补程序之后,旋即发现部份Windows XP使用者反馈,在安装完MS10-015更新后会出现蓝色屏幕且电脑无法再开机的情况。据微软调查结果,原来是使用者电脑被Alureon rootkit感染所引起,与修补程序品质无关。

来源:eNet 2010年2月24日

关键字: 系统更新 蓝屏

  • 评论
  • 分享微博
  • 分享邮件

  农历年前微软例行性释出安全修补程序之后,旋即发现部份Windows XP使用者反馈,在安装完MS10-015更新后会出现蓝色屏幕且电脑无法再开机的情况。据微软调查结果,原来是使用者电脑被Alureon rootkit感染所引起,与修补程序品质无关。

  微软安全回应中心(MSRC)总监Mike Reavey在博客中表示,根据微软的调查结果,部份使用者更新MS10-015修补程序之后之所以会有蓝色死亡屏幕并无法重新开机,是因为电脑感染了恶意程序,特别是名为Alureon的rootkit隐身程序。微软表示,与客户以及第三方应用软体商合作检验了诸多的内存转存(dumps)资料之后发现,电脑之所以会重开机是因为Alureon rootkit修改了Windows Kernel的二元代码(binaries),而让系统变得不稳定。

  微软强调,所有的案例皆显示,MS10-015并没有品质问题。因此微软建议:使用仍可继续部署该安全更新,并务必确保电脑上的杀毒软件有最新的更新。

  所谓的Rootkit,是一种隐身程序,通常黑客用这种程序来隐藏其他恶意程序,好让PC使用者不会发现电脑已受恶意程序感染。微软说明,Alureon作者企图存取特殊的内存位置以改变Windows的行为,让使用者安装MS10-015补强程序之后造成Windows程序代码位置的改变。而在电脑重新开机时,恶意程序的程序代码会尝试呼叫Windows程序代码中的特殊位址,但事实上该功能已不存在于OS里。

  微软已有“核心补强保护”(Kernel Patch Protection,也就是PatchGuard)以及“核心模式程序代码签署”(Kernel Mode Code Signing, KMCS)等技术避免Windows Kernel的毁损,这两项功能在64位元版的Windows中都已具备,也因此微软所检查到的各种不同的Alureon版本都只影响32位元版的Windows电脑。有监于此,微软表示,以一般使用者帐号执行系统会比管理者帐号来得安全,较可避免这类感染。

  微软表示,在释出最新的安全更新之后,2月10日开始注意到Windows XP SP2及SP3系统在安装MS10-015修补程序之后会有无法重新开机的问题。而在接到很多相关通报之后,开始停止MS10-015的自动更新,以将可能的损害降到最低。

  微软承诺,目前正着手找出更简单的方法,以协助使用者在受感染的电脑上侦测与移除Alureon,预计在在几周内将可释出。(tyrael)

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章