MSはそれをrootkitのせいだという

先日ここで取り上げたマイクロソフトのWindows月一アップデートが不具合を起こしているという情報をBBSにいただいた。

今回のアップデートは１１項目にわたったわけだが、このうち「MS10-015」という管理権の認証に関する脆弱性を修正するパッチが原因になって、ブルースクリーンを表示後、WindowsXPが二度と立ち上がらないという問題が多発して、Windowsユーザが阿鼻叫喚地獄になって問題のパッチは配布中止になっているという話だ。
MSのフォーラムにも数十万人単位で投稿が殺到しているとか・・・

詳しくはこちら。
MSの更新プログラムでブルースクリーン？　ユーザーから報告相次ぐ - ITmedia News

こちらの記事によると
『SANSの専門家の場合、ブルースクリーンの原因がMicrosoftの更新プログラムにあるらしいと分かり、障害を引き起こしているドライバファイル（.sys）を突き止めてこれを削除したところ、PCは正常に戻ったという。』
ということで、このパッチにより更新されたファイルがこの問題の原因になっているとほぼ断定口調でこの専門家は語っている。

ところが今日になってマイクロソフトは
「いやいや、パッチにバグがあったのではない、この障害はある特定のトロイの木馬に感染したユーザに起きるのだ」
と反論し始めている。
詳細はこちら。

「MS10-015」適用後にWindowsが起動しない現象、マルウェアも原因 -INTERNET Watch

この記事によると
『トロイの木馬「Backdoor.Tidserv」に感染しているPCで、この問題が起きると説明。「Backdoor.Tidserv」はrootkit技術を用いて自身の存在を隠そうとするが、修正パッチによりカーネルモジュールがアップデートされることで、不具合が発生するという。』
ということで、具体的なマルウエアの名前まで特定している。

他にも原因があるか調査中とのことなので、これ単独が原因と断定したわけでもないが、要するに
「ブルースクリーンに落ちた皆さんはトロイの木馬に感染していたことに気づいていなかったのだ」
という言い分らしい。

さぁ、面白いことになってきた。

ところで最近「トロイの木馬」という言葉の用法が大幅に乱れてきているような気がする。
なんだか「分類不可能なよくわからないがマルウエアの可能性が高いもの」をひとからげに「Trojan」と命名しているような気がする。
最近もclamのフォーラムでトロイの木馬ではない正規のマイクロソフト製品を「トロイの木馬」と断定するようなデータベースが混入されたり、なんだかここらのモラルは乱れてきている気がする。

件のトロイの木馬はrootkitを忍ばすようなかなり悪質なヤツだというご説だが、本当なんだろうか。
だとするとブルースクリーンに落ちた連中の不注意ということになるんだろうか？
それとも対応しきれてないセキュリティソフトメーカーの問題？

マイクロソフトからやはり「XPのブルースクリーンはrootkitが原因」と断定のレスポンス

BBSでいつものSakiPapaさんから情報をいただいた。
日本のセキュリティチーム - [続報2] MS10-015での再起動やブルースクリーンは、マルウェアが原因

ということでその内容は先日来起きている２月のWindows UpdateをかけるとWindowsXPがブルースクリーンを表示して二度と起動できなくなるという問題は、
「原因調査の結果、マルウェア (Alureonルートキット)が原因で現象が発生することが分かりました」
とほぼ断定する内容になっている。

この件についてこちらで取り上げた。
2010 年 2 月 16 日
MSはそれをrootkitのせいだという

この影響が出るのは32bitシステムのみということで、
「Microsoft Forefront、Microsoft Security Essentialsを初めとするウイルス対策ソフトを導入していれば、Alureonルートキットがインストールされるような挙動を検知することができますが、Alureon ルートキットが既に動作している場合には、ルートキットがOSの最下層まで潜んでしまうため、検出が非常に困難な状態になります」
ということらしい。

実は関係あるのかないのかまだわからないが、私のところでもBOOTCAMPボリュームがマウントできなくて今Windowsが起動できないというトラブルに対処中なのだが、ルートキットに既に感染した場合はウイルス対策ソフトでは検出は不可能なようなので検出ツールを数週間以内に配布するという告知だ。
起動できなくなったWindowsでどうやってツールを走らせるのか、是非聞いてみたいところだがこの問題の被害に既に遭ってしまった人はしばらく我慢をするか、あきらめてシステムをもう一度クリーンインストールするしか無いようだ。

この件は、まだまだもつれそうなのでウォッチしてみる。

Windows不定期アップデート発行中〜でも例のrootkit対応パッチと駆除ソフトまだー？(ﾟДﾟ)？

一時期はWindowsのアップデートは月に一回だけということになってから、結構律儀に守っていたマイクロソフトだが、最近また定期外アップデートの頻度が増えてきた。
今回は深刻度はどの程度なのかわからないが、話題のIEのパッチが含まれていて、しかもあと１週間が待てないパッチなので、そんなにどうでもいいものではない気がする。

それにしても前回のアップデートで、WindowsXPが大量にブルースクリーンを出して起動できなくなるという犠牲を出し阿鼻叫喚地獄になっていたrootkitの件だが（参照こちら）近日中に修正パッチと駆除ソフトを配布するという話だったが、それは今回はまだ含まれないようだ。

勿論ブルースクリーンを出して起動できなくなってしまったら、パッチも当然当てられないわけだから配布方法は違う形になるかもしれないが、その対策はまだということなのでWindowsの運用は注意を要する状態のままだということを気に留めた方がよい。
（そのブルースクリーン患者の場合はどうやって修復するのだろうか？　KNOPPIXなんて救済用のLinuxシステムディスクを配布してそこからWindowsを修復するようなスクリプトを実行する仕組みにするんだろうか？　Windowsの修復に正式にマイクロソフトがLinuxを配布しなくてはいけなくなるということが起きるんだろうか？　これもなかなか興味深い問題だ）

ガンブラーの件もあるし、本当はWindowsでやたらネットに接続しない方がいいんだけどね。

Windowsの不定期アップデートがかかってきているので忘れずにかけること