Windows XP セキュリティ更新(KB977165)を適用すると再起動ループに陥る障害の続報が日本のマイクロソフトセキュリティーチームの公式ブログに掲載されています。
一部のお客様でMS10-015を適用後に再起動やブルースクリーンが発生する報告があり、引き続き調査を進めています。
これまでの調査では、システム上のマルウェアがこの動作を引き起こすことが分かっています。
これによると、MS10-015をマルウェアが混入したPCに適用することによって、この現象が引き起こされるとしています。
アメリカのSymantecのブログではもう少し詳しい情報が掲載されています。
These APIs are retrieved via hard-coded relative virtual addresses (RVAs) into the kernel module, which are calculated at the infection time. Microsoft recently released a kernel patch that addressed a non-related issue (MS10-015 / KB977165), which updates the kernel modules. They also released a blog about blue screen issues after applying this patch.
What seems to have happened in Tidserv’s case is that after this update, the RVAs for the above mentioned APIs changed—therefore causing the infected drivers out there to call invalid addresses and, in turn, cause blue screens every time Windows boots up:
シマンテックのブログによれば、これはマルウェアである「Backdoor.Tidserv」がインストールされてしまっているPCで実行した場合に、カーネルモジュールがこのマルウェアの動作を阻害してブルースクリーンを引き起こしているとのこと。
マイクロソフトではこのマルウェアがブルースクリーンを引き起こす原因の一つと位置づけていますが、ほかの原因については引き続き調査中としています。
マイクロソフトはMS10-015の修正パッチが配布されているまでの間、コンピューターを保護する方法としてFix itの回避策が有効だとしています。また、マルウェアの侵入対策として、自社が無償で公開しているMicrosoft Security Essentialsの導入が推奨されています。
国内でのブルースクリーン報告はほとんど上がっていないようですが、まだ適用していない方は早めに回避策の実行をおすすめします。
