aquapple

Windows XP セキュリティ更新(KB977165)を適用すると再起動ループに陥る障害の続報が日本のマイクロソフトセキュリティーチームの公式ブログに掲載されています。

一部のお客様でMS10-015を適用後に再起動やブルースクリーンが発生する報告があり、引き続き調査を進めています。
これまでの調査では、システム上のマルウェアがこの動作を引き起こすことが分かっています。

via 日本のセキュリティチーム : [続報] MS10-015で再起動やブルースクリーンが発生する件について

これによると、MS10-015をマルウェアが混入したPCに適用することによって、この現象が引き起こされるとしています。
アメリカのSymantecのブログではもう少し詳しい情報が掲載されています。

These APIs are retrieved via hard-coded relative virtual addresses (RVAs) into the kernel module, which are calculated at the infection time. Microsoft recently released a kernel patch that addressed a non-related issue (MS10-015 / KB977165), which updates the kernel modules. They also released a blog about blue screen issues after applying this patch.

What seems to have happened in Tidserv’s case is that after this update, the RVAs for the above mentioned APIs changed—therefore causing the infected drivers out there to call invalid addresses and, in turn, cause blue screens every time Windows boots up:

via Tidserv and MS10-015 | Symantec Connect

シマンテックのブログによれば、これはマルウェアである「Backdoor.Tidserv」がインストールされてしまっているPCで実行した場合に、カーネルモジュールがこのマルウェアの動作を阻害してブルースクリーンを引き起こしているとのこと。
マイクロソフトではこのマルウェアがブルースクリーンを引き起こす原因の一つと位置づけていますが、ほかの原因については引き続き調査中としています。

マイクロソフトはMS10-015の修正パッチが配布されているまでの間、コンピューターを保護する方法としてFix itの回避策が有効だとしています。また、マルウェアの侵入対策として、自社が無償で公開しているMicrosoft Security Essentialsの導入が推奨されています。

国内でのブルースクリーン報告はほとんど上がっていないようですが、まだ適用していない方は早めに回避策の実行をおすすめします。

関連するエントリー

• 「MS10-015(KB977165)」修正パッチが公開に、Windows Updateでの自動提供は順次再開 (2010/03/06の記事)
• MS10-015(KB977165)での再起動ループ問題、Alureonルートキットが原因と判明 (2010/02/22の記事)
• Windows XP セキュリティ更新(KB977165)を適用すると再起動ループに陥る障害が発生中 (2010/02/14の記事)
• ウイルスバスター2009が起動直後にブルースクリーンになる原因は「パーソナルファイアウォール」にあり (2009/04/25の記事)
• ウイルスバスター2008でもOS起動直後にブルースクリーン (2009/03/20の記事)
• Windows Vista SP1 ＋ ウイルスバスター2009でブルースクリーン→無限ループに陥った (2008/10/30の記事)