Я не пионер, чтобы вместе со всеми выкрикивать лозунги.
Как это не относится к теме? Не было бы в паке КВ977165 тогда и вопросов нет.
Да и отзыв этой обновки с WU настораживает. Насчет нравиться, не нравится мое личное дело.

Ну и что, это все не глядя принимать на веру? Проверил этим TDSSKiller(ом) проблемную машину. Все ОК! Ни каких руткитов не обнаружено. С КВ977165 была проблемная загрузка ( во время входа в систему останавливалось сканирование на 1-2 минуты, а потом медленная загрузка). Удалил КВ977165, все пошло нормально. Если у Вас этого нет, это не означает, что этого не существует. Аудитория использующая UpdatePack-XPSP3 мизерная по сравнению с остальным миром и не может являться истиной в последней инстанции.

Привет все,
Я пишу, чтобы сообщить, что мы знаем, что после установки февральской безопасности обновляет ограниченное число пользователей, испытывают проблемы, перезапускающие их компьютеры. Наш начальный анализ предполагает, что проблема происходит после установки MS10-015
http://www.microsoft.com/technet/sec.../ms10-015.mspx (KB977165).
Однако, мы не подтвердили, что проблема является определенной для MS10-015 или если это - проблема функциональной совместимости с другими составляющими или сторонним программным обеспечением. Наши группы работают, чтобы решить это как можно быстрее. Мы также прекратили предлагать это обновление через Обновление Windows, как только мы обнаружили проблемы рестарта. Однако, те, которые используют системы развертывания напредприятиях, такие как SMS или WSUS, будут все еще видеть и будут в состоянии развернуть эти пакеты.
Поскольку Вы можете выбрать из предыдущих сообщений в блоге, MS10-015 - Возвышение Привилегии, которая потребовала бы, чтобы у нападавшего были правильные сертификаты, чтобы быть в состоянии усилить уязвимость в нападении. Несколько других обновлений в этом выпуске были идентифицированы как первоочередные для развертывания, и мы продолжаем поощрять клиентов полностью проверить обновления и немедленно развернуть их. В это время мы не знаем ни о каких проблемах с другими обновлениями, которые были выпущены в этом месяце, и мы продолжаем поощрять клиентов устанавливать их как можно скорее, чтобы помочь гарантировать, что они защищали от уязвимости, к которой они обращаются.
В то время как мы работаем, чтобы обратиться к этой проблеме, клиенты, которые хотят не устанавливать обновление, могут осуществить обход, обрисованный в общих чертах в бюллетене. CVE-2010-0232 был публично раскрыт, и мы ранее выпустили Консультацию Безопасности 979682
http://www.microsoft.com/technet/sec...ry/979682.mspx
в ответе. Клиенты могут отключить подсистему NTVDM как обход, и мы обеспечили автоматизированный метод выполнения этого с Затруднительным положением Microsoft Она, что Вы можете найти здесь:
http://support.microsoft.com/kb/979682.
Клиенты, которые испытывают проблемы после установки любого из наших обновлений безопасности, могут получить справку, решая проблемы или идя в
https://consumersecuritysupport.microsoft.com
или звоня 1-866-PCSafety (1-866-727-2338). Международные клиенты могут найти местные контактные номера поддержки здесь:
http://support.microsoft.com/common/international.aspx.
Спасибо,

Update - Перезагрузка Проблемы, возникающие после установки MS10-015

В наше продолжающееся расследование, чтобы перезапустить вопросы, связанные с MS10-015, что ограниченное число клиентов, которые испытывают, мы определили, что вредоносное ПО в системе может привести к поведению. Мы еще не исключающего другие возможные причины в настоящее время и продолжает расследование. Пожалуйста, просмотрите наш блог со вчерашнего дня для получения дополнительной информации.

Один из ключевых компонентов при расследовании подобных проблем являются получение дампы памяти с компьютеров, которые испытывают проблемы. Для того чтобы получить информацию, нам необходимо полностью проанализировать этот вопрос, некоторые из наших инженеров поддержки фактически Driven к клиентам и взял уязвимые системы, чтобы мы смогли получить необходимые данные аварии прямо и помочь информировать наше расследование. Для получения дополнительной информации о дампы памяти см. по адресу: http://support.microsoft.com/kb/254649.

Мы рекомендуем клиентам воспользоваться нашими "Защитите свой компьютер" наилучшей практики и всегда в курсе антивирусного программного обеспечения, работающего на своих системах для предотвращения вредоносных инфекций. Для клиентов, которые не имеют антивирусных программ, вы можете либо сканирование системы с помощью нашего онлайн инструмент на http://safety.live.com или вы можете установить Microsoft Security Essentials бесплатно.

Это может быть трудным вопросом, решить раз компьютер находится в ООН-загрузочные государство Поэтому мы рекомендуем клиентам, которые считают, что они были влияние этого обратиться в нашу службу поддержки клиентов группой либо собирается HTTPS: / / consumersecuritysupport.microsoft. COM или позвонив по телефону 1-866-PCSAFETY (1-866-727-2338). Международные клиенты могут найти местных номеров в службу поддержки здесь: http://support.microsoft.com/common/international.aspx.

Среду, 17 Февраля 2010 6:29 вечера по MSRCTEAM
Update - Перезагрузка Проблемы, возникающие после установки MS10-015 и Alureon Rootkit

Привет,

Мы хотели предоставить вам обновленную информацию о наших текущих расследований в "синий экран" вопросы, затрагивающие ограниченного числа клиентов, которые установлены MS10-015. Мы работали круглые сутки с нашими клиентами, партнерами и несколько команд в Microsoft, чтобы определить причину этих проблем. Наше расследование пришло к выводу о том, что перезагрузка происходит потому, что система заражена вредоносным ПО, в частности руткит Alureon. Мы смогли прийти к такому выводу после всестороннего анализа дампы памяти получен с нескольких компьютеров для клиентов и всесторонних испытаний в отношении сторонних приложений и программного обеспечения. Перезагрузки, являются результатом изменений руткита Alureon делает для исполняемых файлов ядра Windows, которая ставит этих систем в нестабильном состоянии. Во всех исследованных инцидент, мы не обнаружили проблемы с качеством обновления безопасности MS10-015. Наше руководство остается той же: потребители должны продолжать прилагать безопасности этого месяца обновлений и убедитесь, что их системы последнюю дату с новейшими антивирусными программами.

Клиенты продолжают подчеркивать важность качественного обновления, и что высокое качество обновлений способствует более быстрому развертыванию. Хотя этот вопрос клиенты испытывают с MS10-015 была вызвана вредоносным инфекции, а не проблемы с обновлениями безопасности, мы хотим использовать это событие как возможность объяснить, почему этот вопрос не был пойман во время испытаний, и как мы реагируем на сообщила вопросов в наших обновлений безопасности.

Этот вопрос не был пойман в качестве части нашего тестирования, поскольку нередко, когда вредоносная присутствует, зараженные системы ставят в неустойчивом состоянии. Такие инфекции нередко оставляют машины в таком неустойчивом состоянии, что оно не может быть надежно испытания. Это происходит потому, вредоносных программ использовать неподдерживаемый и потенциально дестабилизирующие методы ущерба машине, потому что они хотят, чтобы их скрыть от вредоносных программ по борьбе с вредоносным программным обеспечением. В конкретном случае Alureon, авторы вредоносных программ Windows Изменение поведения, пытаясь получить доступ к конкретной ячейке памяти, вместо позволяя операционной системой определения адреса, который обычно случается, когда загружен исполняемый файл. Цепь событий, в этом случае была машина стала инфицированных, в ходе которых вредоносные сделал предположение относительно расположения кода Windows на машине. Впоследствии MS10-015 был загружен и установлен, в течение которого расположения кода Windows изменилась. При следующей загрузке вредоносного кода разбился пытаться называть конкретные адреса в Windows кодом, который уже не был предназначен ОС функцию.

Microsoft предпринимает шаги для предотвращения подделки ядра Windows с использованием технологий, как защита от исправлений ядра (иногда называемый PatchGuard) и Kernel Mode Code Signing (KMCS), обе из которых включены в 64-битных систем. Эти технологии позволяют обнаружить при проверке целостности неудачу. Различных версий Alureon что мы исследовали только заразить 32-битных системах и не сможет заразить 64-битных систем. Тем не менее, важно отметить, что работает как обычный пользователь, не используя учетную запись администратора является лучшей практики, что в большинстве случаев будет предотвращения вредоносных программ в режиме ядра, заражение системы. Аналогичным образом, сохраняя антивирусные сигнатуры текущих также предотвратить большинство вредоносных программ от инфекций. Кроме того, поскольку мы определили, что 64-битные системы не влияет, мы открываем автоматического обновления для этих платформ.

Посетители, которые заинтересованы в дополнительные технические подробности того, что ядра Windows это можно узнать больше здесь.

Даже после того, как выпущенные обновления безопасности, работа Microsoft Security Response Center является не сделали. В сочетании с Microsoft в службу поддержки клиентов (CSS), мы отслеживаем форумах и отслеживать звонки клиентов чтобы мы могли ответить на вопросы, сообщили в кратчайшие сроки. В среду, 10 февраля, нам стало известно о сообщениях относительно Windows XP SP2 и SP3 систем становится не в состоянии возобновить после успешной установки MS10-015. В докладах, впервые были определены путем мониторинга MSRC's различные интернет-сообщества поддержки форумов, резкий подъем в поддержку том вызова и телеметрии от нашего потребителя Безопасности центр поддержки. После рассмотрения информации, которую мы имели в своем распоряжении, мы перестали поддерживать автоматическое распределение обновление MS10-015 для того, чтобы свести к минимуму возможности для широкомасштабного воздействия клиента в то время как мы исследовали эти доклады. Даже если мы остановили распространение через автоматические обновления, мы видели большое количество развертывание сил как клиенты могут еще развертывание обновления через Windows Update, WSUS или SMS.

В этой ситуации, наши команды, необходимые для получения информации непосредственно из пораженных систем, чтобы понять причину. Потому, что мы так мало докладов и необходимо изучить состояние пораженных систем, группа CSS даже поехали на место клиента, чтобы получить машину для анализа.

В прошлые выходные, мы работали с Microsoft Malware Protection центра (MMPC) на системах, которые были доставлены в Редмонде в прошлую пятницу, и подтвердил, что все пострадавшие были системах Alureon Rootkit установлены. Команда Windows Engineering затем начал работу по созданию теста матрица для определения вредоносных программ был связан с докладами, которые мы получаем. Для того, чтобы мы определили причину проблемы, Windows Engineering испытания машины с помощью тестового процесса, охватывающего все 32-битные версии Windows. Хотя этот вопрос может повлиять любое 32bit Windows система, которая была заражена вредоносным, поскольку доклады преимущественно по 32bit версии Windows XP Данное испытание процесс описан на высоком уровне упором на той версии, в таблице ниже:


Фазы
Действия
Результат на испытания машины

Отладка Фазы 1 Установить поддерживаемых версий Windows XP
Установить все предыдущие обновления довести ядра Windows до версии обновлено: MS10-015 до версии 5.1.2600.5857.
Установить корневой Alureon Kit.
Установить MS10-015 / KB977165 ядра версии 5.1.2600.5913
Система входит повторное перезагрузки / синий экран

Отладка Фаза 2 Установить поддерживаемых версий Windows XP
Установить все предыдущие обновления довести ядра Windows до версии 5.1.2600.5857
Установить все предыдущие обновления довести ядра Windows от текущей версии до версии обновлено: MS10-015.
Установить корневой Alureon Kit.
Успешная загрузка

Отладка Фаза 3 Установка Windows XP SP3
Установить все предыдущие обновления довести ядра Windows до версии 5.1.2600.5857
Установить MS10-015 обновление версии ядра до версии 5.1.2600.5913
Установить корневой Alureon Kit.
Успешная загрузка

Отладка Этап 4 Установить поддерживаемых версий Windows XP
Установить все предыдущие обновления довести ядра Windows до версии 5.1.2600.5857
Установить MS10-015 довести ядра Windows до версии 5.1.2600.5913
Установить корневой Alureon Kit.
Удалите KB977165 настройки ядра до версии 5.1.2600.5857
Машина идет в прокат перезагрузка




Как указано в таблице, присутствие Alureon не позволяет успешно загрузке зараженной системе. Команда Windows Engineering продолжает тестирование различных конфигураций, а также повторное испытание несколькими сторонними приложениями, ведущей к нашему твердому убеждению, что "голубой экран вопросом является результатом руткита Alureon.

Malware компромисс этого типа является серьезной, и если клиенты не могут подтвердить удаления руткитов Alureon используя свои anti-virus/anti-malware выбрано программное обеспечение, наиболее безопасным является рекомендацией для владельца системы для резервного копирования важных файлов и полностью восстановить системы из чистого отформатированный диск.

Инструкции о том, как создать резервные копии файлов в Windows, посетите здесь:
http://windows.microsoft.com/en-US/w...-up-your-files

Инструкции по переустановке Windows, посетите здесь:
http://windows.microsoft.com/en-us/w...tall-uninstall

Посетители, которые считают, что они испытывают перезагрузки после установки выпуска MS10-015, или требуется поддержка удаления или ремонт их систем, рекомендуется обратиться в службу поддержки клиентов группой либо собирается HTTPS: / / consumersecuritysupport.microsoft.com или телефону 1-866-PCSAFETY (1-866-727-2338). Международные клиенты могут найти местных номеров в службу поддержки здесь: http://support.microsoft.com/common/international.aspx.

Хотя мы не можем предсказать, как авторы вредоносных программ будет автором или изменить свой код, мы привержены поиску новых путей для выявления подобных проблем на зараженных систем. Мы также работаем над более простым решением для обнаружения и удаления Alureon из зараженных систем, которые следует освобожден в течение нескольких недель, а также ряд других сторонних поставщиков.

Мы будем держать вас в курсе здесь на MSRC Блог как у нас больше данных и информации о вредоносном ПО и инструменты автоматического восстановления.

Mike Reavey

Директор MSRC



* Этот комментарий предоставляется "КАК ЕСТЬ" без каких-либо гарантий и передачи прав .*
Подано в: бюллетень по безопасности, обновлений безопасности, вредоносных программ (Malware), вирус