« MS10-015でブルースクリーン発生時のパッチアンインストール方法 | Main | 今日のAmazon物資 (2010/02/16) »

2010.02.16

MS10-015でブルースクリーンが出る環境はルートキット感染済み?

Windows XPにおけるMS10-015適用時のブルースクリーン発生ですが、続報が出ています。
現時点ではルートキットBackdoor.Tidserv(別名:Backdoor:W32/TDSS)に感染した環境においてブルースクリーンが再現することが判明しています。

このルートキットはデバイスドライバファイル自体を汚染してしまうため、回復コンソールを使用してWindows XPインストールCDからファイルを上書きコピーする必要があります。
上記URLではatapi.sysを置き換えていますが、シマンテックの情報では、MS汎用のatapi.sys、ndis.sys以外にもIntel製ATAPIドライバ、NVIDIA製ATAPIドライバ、VMWare SCSIドライバなどが入っている環境では、これらのファイルの置き換えも必要なようです。

回復コンソールからチマチマやるのも面倒なので、非暗号化ドライブの場合は

  1. PCからハードディスクを取り外す
  2. USB等で他のPCに接続する
  3. 他PC上でウィルス対策ソフトを使いスキャンする
  4. 感染したファイルを除去し、ドライバファイルを正規のものに置き換える
  5. PCにハードディスクを取り付け起動する
  6. ウィルス対策ソフトを起動し再スキャンを実行する

方が楽かもしれないですね。
BitLocker暗号化ドライブの場合は回復パスワード等を使用して読むことができるようですが、暗号化ツールによっては対処が異なるようなので、この辺りは確認してからの方が良いでしょう。

なお、マイクロソフトはルートキット以外の問題の可能性も否定しておらず、調査を継続しています。
そのため、現時点ではルートキット以外の環境依存問題の可能性もある、と考えて良いでしょう。

|

« MS10-015でブルースクリーン発生時のパッチアンインストール方法 | Main | 今日のAmazon物資 (2010/02/16) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/27186/47577458

Listed below are links to weblogs that reference MS10-015でブルースクリーンが出る環境はルートキット感染済み?:

« MS10-015でブルースクリーン発生時のパッチアンインストール方法 | Main | 今日のAmazon物資 (2010/02/16) »