Windows BSOD Caused by Alureon Rootkit, Not by Patch MS10-015

ไมโครซอฟท์ยืนยันปัญหา Windows BSoD หลังจากติดตั้งแพต์ซ์ MS10-015 เกิดจากรูทคิตส์ Alureon
บทความโดย: Thai Windows Administrator Blog

สืบเนื่องจากมีการรายงานไปก่อนหน้านี้ว่ามีผู้ใช้วินโดวส์บางส่วนเกิดปัญหาวินโดวส์ขึ้นจอฟ้า หรือ Blue Screens of Death (BSoD) หลังจากทำการติดตั้งแพต์ซ์หมายเลข MS10-015 (อ่านรายละเอียดได้ที่ Windows Blue Screens of Death (BSoD) After installing MS10-015) ล่าสุดไมโครซอฟท์ทำการตรวจสอบปัญหาดังกล่าวนี้เสร็จเรียบร้อยแล้ว พร้อมกับยืนยันว่าปัญหาวินโดวส์ขึ้นจอฟ้าไม่ได้เกิดจากการติดตั้งแพตซ์หมายเลข MS10-015 แต่เกิดจากรูทคิตส์ (Rootkit) ที่มีชื่อว่า Alureon

โดย Mike Reavey ซึ่งเป็นผู้อำนวยการของ Microsoft Security Response Center (MSRC) ได้โพสต์รายละเอียดผลการตรวจสอบหาสาเหตุปัญหาวินโดวส์ขึ้นจอฟ้าในบทความเรื่อง Update - Restart Issues After Installing MS10-015 and the Alureon Rootkit ซึ่ง Microsoft Malware Protection Center (MMPC) ได้ทำการตรวจสอบระบบตัวอย่างที่เกิดปัญหาวินโดวส์ขึ้นจอฟ้าหลังจากทำการติดตั้งแพต์ซ์หมายเลข MS10-015 อย่างละเอียด ผลปรากฏว่า "ทุกระบบตัวอย่างที่เกิดปัญหาวินโดวส์ขึ้นจอฟ้าหลังติดตั้งแพตซ์ MS10-015 มีรูทคิตส์ที่ Alureon ติดตั้งอยู่"

สำหรับรูทคิตส์ Alureon นั้น หลังจากทำการติดตั้งลงเครื่องคอมพิวเตอร์แล้วเมื่อระบบทำการโหลดโปรแกรมรูทคิตส์มันจะทำการกำหนดตำแหน่งหน่วยความจำที่ใช้ในการโหลดโปรแกรมเอง แทนการกำหนดตำแหน่งให้โดยระบบปฏิบัติการตามการทำงานโดยปกติ แต่หลังจากทำการติดตั้งแพต์ซ์หมายเลข MS10-015 จะทำให้ตำแหน่งของ Windows code เปลี่ยนไป ดังนั้นเมื่อรูทคิตส์ Alureon พยายามทำการโหลดโปรแกรมในตำแหน่งหน่วยความจำเดิมซึ่งไม่มีอยู่จึงทำให้ระบบเกิดการแครช (Crash)

อนึ่ง ปัญหาดังกล่าวนี้จะไม่เกิดขึ้นกับผู้ที่ใช้ Windows Vista 64-bit และ Windows 7 64-bit เนื่องจากในวินโดวส์เวอร์ชัน 64-bit นั้นไมโครซอฟท์ได้เพิ่มเทคโนโลยี Kernel Patch Protection (PatchGuard) และ Kernel Mode Code Signing (KMCS) เพื่อป้องกัน Windows kernel จากการถูกปลอมแปลงในลักษณะที่รูทคิตส์ Alureon ใช้ในกรณีนี้

แหล่งข้อมูลอ้างอิง
• Softpedia

© 2010 TWA Blog. All Rights Reserved.