MS10-015 適用にて起動不良、rootkit 感染が原因の恐れあり 46
面妖な 部門より
ある Anonymous Coward 曰く、
Windows の 2 月の月例セキュリティアップデートをあてると BSoD が発生するという報告があり、マイクロソフトはパッチの提供を一時中断しているそうだ (INTERNET Watch の記事、ITmedia エンタープライズの記事、本家 /.、Microsoft Security Responce Center (MSRC) blog の記事 より) 。
問題となっているパッチ「MS10-015」を適用するとブルースクリーンが表示され Windows が起動しなくなる場合があるという。パッチの対象システムは Windows 7 / Vista / XP / 2000 および Windows Server 2008 / 2003。Symantec Connect の 記事によると Backdoor.Tidserv というトロイの木馬に感染しているとこの問題が発生するとのこと。このマルウェアは自身を隠すために rootkit を使っており、パッチによってカーネルがアップデートされることで不具合が発生するとのことだ。Symantec Connect によると「さらにひどい事に、感染したドライバが起動にとって重要なので、Windowsはセーフモードでも起動できなくなる」としている。そのため、感染したドライバをクリーンな環境下 (たとえば、Windows のインストールディスクなど) から置き換える必要がある。
なお、このマルウェアによって感染する可能性があるドライバは atapi.sys, iastor,sys, idechndr,sys, ndis,sys, nvata.sys, vmscsi.sys など。可能であれば、感染していない事が確実なシステム上にHDDを接続しなおした上で、最新パターンが適用されたアンチウイルスソフトを使用するなどして、システム全体のフルスキャンを行うと良いだろう。今回の MS10-015 に関する起動不良に関しては、まだ他の原因も存在する可能性も否めないが、もしそのような事例が起きているようであれば、もう一度よい機会であると考えて、手元のシステムについてのチェックを強化してみてはいかがだろうか。
不具合対処 (スコア:3, 参考になる)
MS10-015を入れるとWindowsが落ちる不具合に対処してrootkitがアップデートされたみたいです。
“死のブルー・スクリーン”を引き起こすルートキットをハッカーが改訂か? [computerworld.jp]
仕事がはやいですねぇ。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re: (スコア:0)
ルートキット利用者に取っては折角仕掛けたカモPCが利用できなくなる致命的な障害な訳で、開発者は不眠不休でデバッグしリリースしたのでしょう。
MSの配布停止措置は、結果的にルートキット利用者側に損失拡大への時間的猶予を与えたことになります。(最重視すべきPC利用者の立場を無視して書いてますが:-)
アップデートしたら起動しなくなるとのは最悪のユーザエクスペリエンスだから、ルートキットが生きたままの状態とPC諸共討死の状態では前者の方がまだマシと判断したのでしょうね。
#自覚症状の無い保菌者ではあるが、、、早期の完全駆除を望みたいものです。
重複? (スコア:1, 参考になる)
http://srad.jp/security/article.pl?sid=10/02/15/0817206 [srad.jp]
Re: (スコア:0)
関わらず、まるでMSのパッチが悪いかのようにタレこんでいたので、
今回のを改めて掲載するのはいいんじゃないですか?
rootkit仕掛けられるのもMSが悪いなんて言う人もいますがね。
Re: (スコア:0)
> まるでMSのパッチが悪いかのようにタレこんでいたので
rootkitとMSパッチの組み合わせでしか問題が発生しないとしても
MSが「適用すると致命的な問題が発生するパッチを配布した」ということに違いはないわけで
これは「パッチの構造に問題があった」ということなんじゃないの?
なんか違う?
Re:重複? (スコア:1, すばらしい洞察)
私には致命的な問題が新たに発生したのではなく既にあった致命的な問題が明らかにされたように見えますが、マルウェアに感染している事が致命的でない人にとってはそうかも知れませんね。
いいえ。 あえて書くなら「rootkitの構造に問題があった」と考える方が一般的です。
Re: (スコア:0)
戸締りが悪い家に届くと爆発する郵便物を顧客に送付しました
という場合に
もともと戸締りが悪い家は財産を失う可能性があったのだから爆発で財産を失っても問題ない
という理屈はおかしいでしょ
Re:重複? (スコア:2)
> 戸締りが悪い家に届くと爆発する郵便物を顧客に送付しました
変な例えが理解を妨げる一例ですね。
戸締りが悪いために、地雷をしかけられていた家に郵便物をもっていったら
住人が地雷を踏んでしまったというのが正しいのでは。
Re:重複? (スコア:1, すばらしい洞察)
それはたとえ話がおかしい。リリースされたパッチは爆発物ではない。
女の子にラブレターを送ったら、その子の部屋に侵入していたストーカーが発狂して女の子を殺しちゃいました、という文脈で手紙の送り主を殺人罪に問うくらい筋違い。
Re:重複? (スコア:1)
むしろ、玄関に地雷が埋まってる家に、普通の郵便物を送付したら爆発した、と言った方が近いのでは?
玄関に運ぶ前にダウジングしてたら、こうはならなかったかもしれませんが。
1を聞いて0を知れ!
Re: (スコア:0, 荒らし)
そのコメントが今回のケースの比喩になっているという主張くらいにはおかしいと思います。
Re: (スコア:0)
それともkernelのパッチアップデートでrootkitも排除しろとおっしゃる?
Re: (スコア:0)
# ねぇよ
Re: (スコア:0)
そんな事言ったら差分でパッチを配布なんて出来なくなるよ。
毎回フルセットで配布なんて考えただけで恐ろしい。
Re: (スコア:0)
パッチを当てる前にパッチ対象バイナリの内容が想定しているものかどうかチェックするっていう
ごく当然の実装が行なわれていれば
感染マシンにパッチを適用して不具合が発生する事態は防げたんじゃないの?
パッチ適用マシンが感染した場合に不具合が起きたというのマルウェアのせいだとしても。
Re:重複? (スコア:2, すばらしい洞察)
それを出来なくするのがrootkitだと思います.
Re: (スコア:0)
それに、今回のパッチはそもそもatapi.sysは変更しませんし。
atapi.sysに感染したrootkitが、他のシステムファイルが想定していなかった状態になることで落ちてるわけです。
あ、マルウェアの作者に言ってるのか。↓
> パッチを当てる前にパッチ対象バイナリの内容が想定しているものかどうかチェックするっていう
> ごく当然の実装が行なわれていれば
Re:重複? (スコア:2, すばらしい洞察)
>パッチを当てる前にパッチ対象バイナリの内容が想定しているものかどうかチェックするっていうごく当然の実装が行なわれていれば
> iastor.sys
> nvata.sys
とかは、IntelのICHやnForceのATAドライバでそれらIntelやらnvidiaの著作物なんですが、Microsoftが把握すべき物なんですか?
Re: (スコア:0)
マルウェアという致命的な問題を持ったコンピュータを動かなくすると言う
きわめて適切な動作をするパッチだったわけですね。
それを攻撃すると言うのは、むしろあなたの精神構造に致命的な問題があるんでしょう。
なぜリンクしない? (スコア:1, 参考になる)
重複のほうもだがなぜTechNet Blogsへのリンクを提示してくれないのか?
http://blogs.technet.com/jpsecurity/default.aspx [technet.com]
Re:なぜリンクしない? (スコア:2)
Re: (スコア:0)
最新のエントリ [technet.com]ではすでに「おそれ」ではなくマルウェアが原因だったと断言してますね。
掲載より先に更新されているのだからちゃんと最新情報を反映させてもらいたいものです。
これも重要かな。
> これまでの調査により、Alureonは64 ビット版のシステムには影響しないことから、64 ビット版システムに対しては順次自動配信を開始する予定です。
MS10-015インストールしてみた (スコア:1)
それほど重要でないサーバー、クライアントに。
全く問題なし。
Windows Update でRootkitを検出できるって便利ですよね。
# Rootkit をすべて検出できるとは思っていません。
Re: (スコア:0)
「なんか最近、体の調子がよくないな」
↓
「献血してみるか」
↓
「結果が送付されてくる」
↓
「異常ないな、よし大丈夫」
と胸を張っている人間と同類の様な気が。
Re:MS10-015インストールしてみた (スコア:1)
そのとおりですが、献血の結果やリスクが怖くて献血しないよりマシだと思ってます。
どっちがいいのだろうか。 (スコア:1)
ウィルスに感染したシステムと動かないシステム。
# 病気肝移植問題を思い出してしまった。
マクロの基本は検索置換(by y.mikome)
Re:また (スコア:1)
政治家と一緒で、対抗勢力を叩くきっかけさえあれば叩くんです。
で、普通のユーザ(民衆)は「責任の所在がどこかなんてどうでもいいから、早く正常化してくれ」と思うわけで・・・
Re: (スコア:0)
この場合、MSに対抗しているのってどんな勢力なのか?私なりに考えてみた。
Re:また (スコア:1)
Windowsしか使えない、実のところWindowsすらうまく使えていない、嫌々ながらWindowsユーザやってる人。
1を聞いて0を知れ!
Re: (スコア:0)
Re: (スコア:0)
後は
とか。
あまりにもあんまりなのでAC
Re:また (スコア:1)
「ストレスを発散したい」より「自分をエライと思いたい」の方が多いんじゃない?
the.ACount
Re: (スコア:0)
「rootkit 感染が原因の恐れあり」
のどこがMS叩きなんだよと。
少しは冷静に判断しましょう。
Re: (スコア:0)
#1720177 [srad.jp]みたいに「rootkitにやられている状態で適用すると
クラッシュするようなパッチを出すMSが悪い」なんて言い出す輩もいるもので。
Re:これもWindowsならではの事象ですね (スコア:2, おもしろおかしい)
何のOS使ってるのかは知りませんが、もしかしたら、カーネルにパッチ当てたりアップデートしてもエラーの出ない、非常に出来のいいrootkitが入ってるかもしれませんよ。ちゃんと確かめた?
1を聞いて0を知れ!
Re: (スコア:0)
内容も生起確率も不明で検出できないリスクの対策を取れっていうのは
霊感商法と同様の論法ですね。
「あなた自身でも気付かない危険に曝されているので、この壺を買ったほうがいい。
このままでは大変なことになる。理屈ではなく、とにかく壺を買えば大丈夫。」
「あなた自身で検出できない危険に曝されているので、このセキュリティツールを買ったほうがいい。
このままでは大変なことになる。動作内容については企業秘密だが、とにかくこれを入れれば大丈夫。」
Re: (スコア:0, フレームのもと)
まったくです。
原子力の扱いを間違えると、目に見えない放射線の影響で人が死ぬかもしれないなんて、まったく馬鹿げた議論です。
# 何も盲信することなく、何かを疑うことなんてできるのだろうか
1を聞いて0を知れ!
Re: (スコア:0)
> # 何も盲信することなく、何かを疑うことなんてできるのだろうか
自己言及のパラドックス的に、すべてを疑うことは不可能そうです。
Re: (スコア:0)
>Windowsはリスクが具現化する確率が特に高いプラットフォームなんだろうね
そりゃそうだろ。
圧倒的な数がある以上、リスクが具体化するの可能性が上がるのは当たり前。
誰も使わないプラットフォームではリスクが具体化しないってのと同様に。
Re: (スコア:0)
Re: (スコア:0)
と勘違いしてると大失敗するんだけどね。