В неконтролируемых перезагрузках и сбоях Windows XP виноват руткит

Мы хотели бы поделиться последними новостями по поводу нашего текущего расследования, связанного с появлением "синего экрана смерти" на некоторых компьютерах, на которых установлено обновление MS10-015. В тесном сотрудничестве с нашими пользователями и партнерами, несколько групп специалистов Microsoft работали круглосуточно, чтобы выявить причину проблемы.
В результате нам удалось выяснить, что неконтролируемая перезагрузка происходит в системах, зараженных вредоносным программным обеспечением, а именно — руткитом Alureon. Мы пришли к такому выводу после тщательного анализа дампов памяти, полученных от целого ряда пользователей, а также по результатам продолжительного тестирования с использованием инструментов от сторонних разработчиков.
Перезагрузка происходит из-за модификации исполняемых файлов ядра Windows под воздействием руткита Alureon, что дестабилизирует состояние системы. Нами было изучено множество случаев неконтролируемой перезагрузки, и ни в одном из них причиной проблемы не может считаться какой-либо недостаток обновления безопасности MS10-015.
Наши рекомендации остаются прежними: пользователям следует обновить систему и использовать антивирусное программное обеспечение с актуальными базами вирусных сигнатур.

Эту проблему не удалось обнаружить в ходе тестирования, поскольку при заражении вредоносным ПО система зачастую дестабилизируется настолько, что эффективное тестирование становится невозможным. Злоумышленники используют неподдерживаемые и потенциально дестабилизирующие методы написания программного кода, чтобы скрыть свои программы от антивирусного программного обеспечения. В случае с Alureon, создатели руткита изменили поведение Windows, заставив систему обращаться к определенной ячейке памяти, в то время как обычно ОС самостоятельно определяет адрес ячейки при загрузке исполняемого файла.
Цепочка событий в данном случае такова. Проникшее в систему вредоносное ПО изменило структуру кода Windows. После этого было установлено обновление MS10-015, изменившее размещение кода Windows. В результате при следующей загрузке вредоносный код вызвал сбой, пытаясь обратиться к определенному адресу в коде Windows, который уже перестал являться предусмотренной функцией ОС».

Или, как лаконично подытожил Дуайт Силвермен (Dwight Silverman) в своей статье на сайте TechBlog, «Извините, мы не поддерживаем вредоносное ПО».

Пользователи из США и Канады, столкнувшиеся с проблемой неконтролируемой перезагрузки после установки MS10-015 и нуждающиеся в помощи при удалении обновления или восстановлении системы, могут обратиться в службу поддержки по адресу https://consumersecuritysupport.microsoft.com или по телефону 1-866-PCSafety (1-866-727-2338). Телефоны службы поддержки в других странах доступны по адресу http://support.microsoft.com/common/international.aspx.