パスワードを忘れた? アカウント作成
194329 story
マイクロソフト

MS10-015 適用にて起動不良、rootkit 感染が原因の恐れあり 46

ストーリー by reo
面妖な 部門より

ある Anonymous Coward 曰く、

Windows の 2 月の月例セキュリティアップデートをあてると BSoD が発生するという報告があり、マイクロソフトはパッチの提供を一時中断しているそうだ (INTERNET Watch の記事ITmedia エンタープライズの記事本家 /.Microsoft Security Responce Center (MSRC) blog の記事 より) 。

問題となっているパッチ「MS10-015」を適用するとブルースクリーンが表示され Windows が起動しなくなる場合があるという。パッチの対象システムは Windows 7 / Vista / XP / 2000 および Windows Server 2008 / 2003。Symantec Connect の 記事によると Backdoor.Tidserv というトロイの木馬に感染しているとこの問題が発生するとのこと。このマルウェアは自身を隠すために rootkit を使っており、パッチによってカーネルがアップデートされることで不具合が発生するとのことだ。Symantec Connect によると「さらにひどい事に、感染したドライバが起動にとって重要なので、Windowsはセーフモードでも起動できなくなる」としている。そのため、感染したドライバをクリーンな環境下 (たとえば、Windows のインストールディスクなど) から置き換える必要がある。

なお、このマルウェアによって感染する可能性があるドライバは atapi.sys, iastor,sys, idechndr,sys, ndis,sys, nvata.sys, vmscsi.sys など。可能であれば、感染していない事が確実なシステム上にHDDを接続しなおした上で、最新パターンが適用されたアンチウイルスソフトを使用するなどして、システム全体のフルスキャンを行うと良いだろう。今回の MS10-015 に関する起動不良に関しては、まだ他の原因も存在する可能性も否めないが、もしそのような事例が起きているようであれば、もう一度よい機会であると考えて、手元のシステムについてのチェックを強化してみてはいかがだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 不具合対処 (スコア:3, 参考になる)

    by yanagi (6075) on 2010年02月18日 19時41分 (#1720430) ホームページ 日記

    MS10-015を入れるとWindowsが落ちる不具合に対処してrootkitがアップデートされたみたいです。
    “死のブルー・スクリーン”を引き起こすルートキットをハッカーが改訂か? [computerworld.jp]

    米国Microsoftが提供するセキュリティ・パッチをインストールするとWindowsがクラッシュするという問題をめぐり、セキュリティ研究者が2 月16日に語ったところによると、この問題の原因とみられているルートキットの作成者らは、システムのクラッシュを回避すべく、このプログラムに変更を施したもようだ。

    仕事がはやいですねぇ。

    --
    やなぎ
    字面じゃなく論旨を読もう。モデレートはそれからだ
    • by Anonymous Coward

      ルートキット利用者に取っては折角仕掛けたカモPCが利用できなくなる致命的な障害な訳で、開発者は不眠不休でデバッグしリリースしたのでしょう。
      MSの配布停止措置は、結果的にルートキット利用者側に損失拡大への時間的猶予を与えたことになります。(最重視すべきPC利用者の立場を無視して書いてますが:-)
      アップデートしたら起動しなくなるとのは最悪のユーザエクスペリエンスだから、ルートキットが生きたままの状態とPC諸共討死の状態では前者の方がまだマシと判断したのでしょうね。
      #自覚症状の無い保菌者ではあるが、、、早期の完全駆除を望みたいものです。

  • 重複? (スコア:1, 参考になる)

    by Anonymous Coward on 2010年02月18日 12時39分 (#1720089)
    • by Anonymous Coward
      あっちのほうは、実際には既に今回のrootkit原因説が有力視されていたにも
      関わらず、まるでMSのパッチが悪いかのようにタレこんでいたので、
      今回のを改めて掲載するのはいいんじゃないですか?

      rootkit仕掛けられるのもMSが悪いなんて言う人もいますがね。
      • by Anonymous Coward

        > まるでMSのパッチが悪いかのようにタレこんでいたので
        rootkitとMSパッチの組み合わせでしか問題が発生しないとしても
        MSが「適用すると致命的な問題が発生するパッチを配布した」ということに違いはないわけで
        これは「パッチの構造に問題があった」ということなんじゃないの?
        なんか違う?

        • Re:重複? (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2010年02月18日 14時50分 (#1720211)

          MSが「適用すると致命的な問題が発生するパッチを配布した」ということに違いはないわけで

          私には致命的な問題が新たに発生したのではなく既にあった致命的な問題が明らかにされたように見えますが、マルウェアに感染している事が致命的でない人にとってはそうかも知れませんね。

          これは「パッチの構造に問題があった」ということなんじゃないの?

          いいえ。 あえて書くなら「rootkitの構造に問題があった」と考える方が一般的です。

          親コメント
          • by Anonymous Coward

            戸締りが悪い家に届くと爆発する郵便物を顧客に送付しました
            という場合に
            もともと戸締りが悪い家は財産を失う可能性があったのだから爆発で財産を失っても問題ない
            という理屈はおかしいでしょ

            • by 127.0.0.1 (33105) on 2010年02月19日 9時14分 (#1720658) 日記

              > 戸締りが悪い家に届くと爆発する郵便物を顧客に送付しました

              変な例えが理解を妨げる一例ですね。
              戸締りが悪いために、地雷をしかけられていた家に郵便物をもっていったら
              住人が地雷を踏んでしまったというのが正しいのでは。

              親コメント
            • Re:重複? (スコア:1, すばらしい洞察)

              by Anonymous Coward on 2010年02月18日 15時32分 (#1720252)

              それはたとえ話がおかしい。リリースされたパッチは爆発物ではない。

              女の子にラブレターを送ったら、その子の部屋に侵入していたストーカーが発狂して女の子を殺しちゃいました、という文脈で手紙の送り主を殺人罪に問うくらい筋違い。

              親コメント
            • by greentea (17971) on 2010年02月19日 0時48分 (#1720585) 日記

              むしろ、玄関に地雷が埋まってる家に、普通の郵便物を送付したら爆発した、と言った方が近いのでは?
              玄関に運ぶ前にダウジングしてたら、こうはならなかったかもしれませんが。

              --
              1を聞いて0を知れ!
              親コメント
            • Re: (スコア:0, 荒らし)

              by Anonymous Coward

              そのコメントが今回のケースの比喩になっているという主張くらいにはおかしいと思います。

        • by Anonymous Coward
          なんで?rootkitがkernelのメモリ上の位置が想定と違ってもアドレス決め打ちでいじってしまって結果ブルースクリーンだぜ。
          それともkernelのパッチアップデートでrootkitも排除しろとおっしゃる?
          • by Anonymous Coward
            rootkitのパッチを Microsoft Update で配布すれば解決じゃね?

            # ねぇよ
        • by Anonymous Coward

          そんな事言ったら差分でパッチを配布なんて出来なくなるよ。
          毎回フルセットで配布なんて考えただけで恐ろしい。

          • by Anonymous Coward

            パッチを当てる前にパッチ対象バイナリの内容が想定しているものかどうかチェックするっていう
            ごく当然の実装が行なわれていれば
            感染マシンにパッチを適用して不具合が発生する事態は防げたんじゃないの?
            パッチ適用マシンが感染した場合に不具合が起きたというのマルウェアのせいだとしても。

            • Re:重複? (スコア:2, すばらしい洞察)

              by SteppingWind (2654) on 2010年02月18日 15時05分 (#1720229)

              パッチを当てる前にパッチ対象バイナリの内容が想定しているものかどうかチェックするっていう
              ごく当然の実装が行なわれていれば

              それを出来なくするのがrootkitだと思います.

              親コメント
              • by Anonymous Coward

                それに、今回のパッチはそもそもatapi.sysは変更しませんし。
                atapi.sysに感染したrootkitが、他のシステムファイルが想定していなかった状態になることで落ちてるわけです。
                あ、マルウェアの作者に言ってるのか。↓
                > パッチを当てる前にパッチ対象バイナリの内容が想定しているものかどうかチェックするっていう
                > ごく当然の実装が行なわれていれば

            • Re:重複? (スコア:2, すばらしい洞察)

              by kei100 (5854) on 2010年02月18日 22時30分 (#1720529)

              >パッチを当てる前にパッチ対象バイナリの内容が想定しているものかどうかチェックするっていうごく当然の実装が行なわれていれば
              > iastor.sys
              > nvata.sys

              とかは、IntelのICHやnForceのATAドライバでそれらIntelやらnvidiaの著作物なんですが、Microsoftが把握すべき物なんですか?

              親コメント
        • by Anonymous Coward

          マルウェアという致命的な問題を持ったコンピュータを動かなくすると言う
          きわめて適切な動作をするパッチだったわけですね。

          それを攻撃すると言うのは、むしろあなたの精神構造に致命的な問題があるんでしょう。

  • by Anonymous Coward on 2010年02月18日 12時46分 (#1720094)

    重複のほうもだがなぜTechNet Blogsへのリンクを提示してくれないのか?
    http://blogs.technet.com/jpsecurity/default.aspx [technet.com]

  • それほど重要でないサーバー、クライアントに。
    全く問題なし。
    Windows Update でRootkitを検出できるって便利ですよね。

    # Rootkit をすべて検出できるとは思っていません。

    • by Anonymous Coward

      「なんか最近、体の調子がよくないな」
       ↓
      「献血してみるか」
       ↓
      「結果が送付されてくる」
       ↓
      「異常ないな、よし大丈夫」

      と胸を張っている人間と同類の様な気が。

  • ウィルスに感染したシステムと動かないシステム。

    # 病気肝移植問題を思い出してしまった。

    --
    マクロの基本は検索置換(by y.mikome)
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...