更新:安装MS10-015与Alureon Rootkit后的重启问题
我们持续调查部分客户安装MS10-015后出现的"蓝屏"问题。经过全天候分析客户内存转储和第三方软件测试,确认重启是由Alureon Rootkit感染引起。该Rootkit修改Windows内核二进制文件导致系统不稳定。所有调查案例均未发现MS10-015存在质量问题。
技术细节分析
Alureon Rootkit通过非标准方式访问特定内存地址(而非让操作系统决定地址),当MS10-015改变Windows代码位置后,Rootkit在重启时调用错误地址导致崩溃。该Rootkit仅感染32位系统,64位系统因内核补丁保护(KPP)和内核模式代码签名(KMCS)技术不受影响。
调试测试矩阵
Windows工程团队建立了完整的测试流程:
| 阶段 | 操作步骤 | 测试结果 |
|---|---|---|
| 调试阶段1 | 安装Windows XP → 更新至内核5.1.2600.5857 → 感染Alureon → 安装MS10-015 | 系统进入循环重启/蓝屏 |
| 调试阶段2 | 相同环境但不安装MS10-015 | 成功启动 |
| 调试阶段3 | 先安装MS10-015再感染Rootkit | 成功启动 |
| 调试阶段4 | 完整感染后卸载KB977165补丁 | 机器进入循环重启 |
解决方案建议
- 使用最新反病毒软件检测清除
- 无法确认清除时,建议从干净磁盘完全重装系统
- 64位系统已重新开放自动更新
微软正在开发专门的Alureon检测清除工具,预计数周内发布。同时建议用户:
- 使用标准用户账户而非管理员账户
- 保持反病毒签名最新
- 定期备份重要文件