微软：XP更新蓝色死亡画面是rootkit搅的鬼

微软强调，所有的案例皆显示，MS10-015并没有品质问题。因此微软建议：使用仍可继续部署该安全更新，并务必确保电脑上的防毒软体有最新的更新。

农历年前微软例行性释出安全修补程式之后，旋即发现部份Windows XP使用者回报，在安装完MS10-015更新后会出现蓝色萤幕且电脑无法再开机的情况。据微软调查结果，原来是使用者电脑被Alureon rootkit感染所引起，与修补程式品质无关。

微软安全回应中心（MSRC）总监Mike Reavey在部落格中表示，根据微软的调查结果，部份使用者更新MS10-015修补程式之后之所以会有蓝色死亡萤幕并无法重新开机，是因为电脑感染了恶意程式，特别是名为Alureon的rootkit隐身程式。微软表示，与客户以及第三方应用软体商合作检验了诸多的记忆体转存（dumps）资料之后发现，电脑之所以会重开机是因为Alureon rootkit修改了Windows Kernel的二元码（binaries），而让系统变得不稳定。

微软强调，所有的案例皆显示，MS10-015并没有品质问题。因此微软建议：使用仍可继续部署该安全更新，并务必确保电脑上的防毒软体有最新的更新。

所谓的Rootkit，是一种隐身程式，通常骇客用这种程式来隐藏其他恶意程式，好让PC使用者不会发现电脑已受恶意程式感染。微软说明，Alureon 作者企图存取特殊的记忆体位置以改变Windows的行为，让使用者安装MS10-015补强程式之后造成Windows程式码位置的改变。而在电脑重新开机时，恶意程式的程式码会尝试呼叫Windows程式码中的特殊位址，但事实上该功能已不存在于OS里。

微软已有「核心补强保护」（Kernel Patch Protection，也就是PatchGuard）以及「核心模式程式码签署」（Kernel Mode Code Signing, KMCS）等技术避免Windows Kernel的毁损，这两项功能在64位元版的Windows中都已具备，也因此微软所检查到的各种不同的Alureon版本都只影响32位元版的 Windows电脑。有鉴于此，微软表示，以一般使用者帐号执行系统会比管理者帐号来得安全，较可避免这类感染。

微软表示，在释出最新的安全更新之后，2月10日开始注意到Windows XP SP2及SP3系统在安装MS10-015修补程式之后会有无法重新开机的问题。而在接到很多相关通报之后，开始停止MS10-015的自动更新，以将可能的损害降到最低。

微软承诺，目前正着手找出更简单的方法，以协助使用者在受感染的电脑上侦测与移除Alureon，预计在在几周内将可释出。

资料来源：http://www.itis....e/3635