MS10-015 패치 설치 후 BSOD 현상 Alureon 악성코드가 원인으로 밝혀져

지난 2월 10일 Windows 정기 보안업데이트가 이루어졌다.

그 이후 일부  PC에서 블루스크린(BSOD) 현상이 발생되기 시작했으며, 이에 마이크로 소프트는 2월 12일 부터 원인을 찾기 시작하였다.

마이크로 소프트 자체에서 테스트 결과 Alureon 루트킷 악성코드때문에 블루스크린이 발생한다고 결론지었다.

아래의 테스트 결과표를 살펴 보면, 2가지 테스트 시  블루스크린(BSOD)이 발생 한 것을 알 수 있다.

1) Alureon 악성코드에 감염된 PC에서 패치를 인스톨 한 경우

2) MS10-015 패치를 한 상태에서 Alureon에 감염된 후 다시 보안 패치를 제거한 경우

Phase	Actions	Result on Test Machines
Debug Phase 1	Install Supported Versions of Windows XP Install all previous updates to bring the Windows Kernel prior to the version updated by MS10-015 to version 5.1.2600.5857. Install the Alureon Root Kit. Install MS10-015 / KB977165 Kernel Version 5.1.2600.5913	The system enters a repeated reboot / blue screen
Debug Phase 2	Install Supported Versions of Windows XP Install all previous updates to bring the Windows Kernel to version 5.1.2600.5857 Install all previous updates to bring the Windows Kernel to Current Version prior to the version updated by MS10-015. Install the Alureon Root Kit.	Successful boot
Debug Phase 3	Install Windows XP SP3 Install all previous updates to bring the Windows Kernel to version 5.1.2600.5857 Install  the MS10-015 security update the Kernel version to version 5.1.2600.5913 Install the Alureon Root Kit.	Successful boot
Debug Phase 4	Install Supported Versions of Windows XP Install all previous updates to bring the Windows Kernel to version 5.1.2600.5857 Install MS10-015 to bring the Windows Kernel to version 5.1.2600.5913 Install the Alureon Root Kit. Uninstall KB977165 setting the Kernel to version 5.1.2600.5857	The machine goes into a rolling reboot

i) 자세한 분석 결과는 아래에 링크되어 있다.

- 마이크로 소프트(Microsoft)

http://blogs.technet.com/mmpc/archive/2010/02/17/restart-issues-on-an-alureon-infected-machine-after-ms10-015-is-applied.aspx

http://blogs.technet.com/msrc/archive/2010/02/17/update-restart-issues-after-installing-ms10-015-and-the-alureon-rootkit.aspx 

- 시만텍(Symantec)

http://www.symantec.com/connect/ko/blogs/tidserv-and-bsod

ii) 마이크로소프트 MS technet 블로그 내용

- (2010년 02월 12일) MS10-015 설치 후 블루 스크린 문제 확인 중

2월 10일에 발표한 보안 패치 중 커널을 업데이이트하는 MS10-015를 설치한 경우 블루 스크린이 발생한다는 얘기가 있습니다. 블루 스크린에 나오는 Stop 코드가 0x50이라고 언급되고 있고, 윈도우 XP에서만 발생한다고도 합니다. 하지만 지금까지 마이크로소프트가 파악한 바로는 이번 달의 보안 패치가 직접적으로 또는 타사 소프트웨어와의 간접적인 문제로 장애를 일으킨다고 확인된 것이 없습니다. 이에 대해서는 엔지니어가 심도있게 조사 중입니다.

현재는 문제의 원인이 파악될 때까지 자동 업데이트(Automatic Update, AU)와 윈도우 업데이트(Windows Update, WU)에서 MS10-015 배포를 중단한 상태입니다. 즉, 대부분 자동 업데이트를 켜 두고 사용하시는데 다른 2월달 패치는 설치되지만 MS10-015는 그에 포함되지 않고 있습니다.

관련된 내용에 추가할 부분이 생기면 본 블로그를 통해 알려드리겠습니다.

- (2010년 02월 16일) MS10-015 설치 후 재부팅 문제, 추가내용

지난 주에 MS10-015 설치 후 블루 스크린이 발생하는 문제를 확인 중이라고 포스팅했습니다.

한국에서는 실제로 이와 같은 증상을 마이크로소프트 고객지원센터에 문의한 경우가 현재까지 한 건도 없었고 다른 나라에서도 사례가 나타난 경우는 흔치 않았습니다.

발생한 경우에 원인을 파악하려면 메모리 덤프를 확보해야 하는데 일반적인 가정 사용자 PC에서 메모리 덤프를 얻는 것도 간단치가 않아 원인 확인에 시간이 좀 걸렸습니다. 지금까지 밝혀진 바로는 Alureon이라는 악성 코드에 감염된PC에서 이런 문제가 발생할 수 있다고 하네요.

아직도 MS10-015 패치의 자동 업데이트 배포는 중단되어 있는 상태입니다. 좀 더 면밀한 조사, 광범위한 원인 확인 후에 재개할 예정이지만 일정은 정해지지 않았습니다 an>Q n hE!HpS style='mso-ansi-language:EN-US'> 확인된것이 없습니다. 이에 대해서는 엔지니어가 심도있게 조사 중입니다.

현재는 문제의 원인이 파악될 때까지 자동 업데이트(Automatic Update, AU)와 윈도우 업데이트(Windows Update, WU)에서 MS10-015 배포를 중단한 상태입니다. 즉, 대부분 자동 업데이트를 켜 두고 사용하시는데 다른 2월달 패치는 설치되지만 MS10-015는 그에 포함되지 않고 있습니다.

관련된 내용에 추가할 부분이 생기면 본 블로그를 통해 알려드리겠습니다.

- 관련글

2010/02/10 - [Windows Update] - Microsoft 보안업데이트(2010년02월10일)