微軟的Windows內(nèi)核補(bǔ)丁部署后導(dǎo)致藍(lán)屏問題的真兇是Alureon rootkit。
　　部分用戶在部署了微軟的二月補(bǔ)丁更新后發(fā)生藍(lán)屏死機(jī)，微軟對(duì)這一情況進(jìn)行了調(diào)查，并公布了調(diào)查結(jié)果，微軟發(fā)現(xiàn)這和其中的一個(gè)特定補(bǔ)丁以及惡意軟件影響相關(guān)。

　　微軟的工程師證實(shí)了藍(lán)屏問題和MS10-015的部署相關(guān)，這是一個(gè)Windows內(nèi)核補(bǔ)丁，它修復(fù)了兩個(gè)長(zhǎng)期存在的內(nèi)核漏洞。發(fā)生藍(lán)屏的機(jī)器是由于已感染了Alureon rootkit，Alureon rootkit屬于數(shù)據(jù)竊取木馬類別，它能截獲計(jì)算機(jī)的Internet流以竊取用戶名、密碼和信用卡數(shù)據(jù)。Alureon能夠避開檢測(cè)，從而在不受干擾的情況下執(zhí)行惡意程序。微軟說它還能隱藏文件以及磁盤扇區(qū)。

　　微軟安全響應(yīng)中心的主管Mike Reavey在MSRC博客中稱：“引發(fā)重啟的原因是Alureon rootkit對(duì)Windows內(nèi)核二進(jìn)制做了修改，從而使這些系統(tǒng)處于不穩(wěn)定的狀態(tài)。用戶應(yīng)當(dāng)堅(jiān)持部署這個(gè)月的安全更新，并確保其系統(tǒng)中的反病毒軟件更新到最新版本?！?/P>

　　微軟2月9日發(fā)布安全更新之后不久，就有用戶反映補(bǔ)丁部署后發(fā)生藍(lán)屏問題。幾家漏洞管理廠商的補(bǔ)丁修復(fù)專業(yè)人員和專家紛紛表示，公司范圍上的補(bǔ)丁更新中沒有出現(xiàn)這種問題。

　　直到調(diào)查有了結(jié)果，微軟才再次開放其自動(dòng)更新MS10-015。計(jì)算機(jī)專家Patrick W. Barnes是第一個(gè)發(fā)現(xiàn)此次事件中的rootkit的。

　　Reavey更深入地解釋了這次藍(lán)屏事件的原因：

　　此次事件中Alureon惡意軟件制作者通過試圖訪問特定的內(nèi)存位置修改Windows的運(yùn)轉(zhuǎn)行為，而不是在可執(zhí)行文件加載時(shí)讓操作系統(tǒng)確定地址。在這種情況下，機(jī)器遭到感染，惡意軟件決定了機(jī)器上的Windows代碼布局。隨后MS10-015下載并安裝到了機(jī)器上，這時(shí)Windows代碼的位置也會(huì)發(fā)生改變。在下次重啟機(jī)器時(shí)，惡意代碼試圖訪問Windows代碼中的某一特定地址，然而那里已不再具備所需的操作系統(tǒng)功能，惡意代碼已被毀壞。

　　Reavey說，修復(fù)這一問題的唯一方式是重裝Windows。但他補(bǔ)充說，檢測(cè)并移除Alureon的簡(jiǎn)易解決方式正在開發(fā)中并預(yù)計(jì)在數(shù)星期后發(fā)布。