Søg

Her er forklaringen på blå skærm i Windows

Microsoft bekræfter, at malware er årsag til blue screen of death efter Windows-opdatering, og at det kan være nødvendigt at geninstallere Windows for at fjerne det genstridige rootkit.

19. februar 2010 kl. 13.02
Artikel top billede
Gregg Keizer Gregg Keizer

Computerworld News Service: Microsoft bekræfter, at et rootkit er årsagen til, at mange Windows-computere ikke har kunnet startes op igen, efter brugerne har installeret en sikkerhedsopdatering, der udkom i sidste uge.

Det er kun systemer, der i forvejen er inficerede med rootkittet Alureon, der er blevet lagt ned af blue screen of death-fejl, skriver Mike Reavey, der er leder af Microsoft Security Response Center (MSRC) i en meddelelse på centrets blog.

"Vores undersøgelse konkluderer, at den gentagne genopstart forekommer, fordi systemet er inficeret med malware," oplyser han.

Han tilføjer, at opdateringen MS10-015 ikke er skyld i problemet. "Vi har ikke fundet nogen kvalitetsproblemer med sikkerhedsopdateringen MS10-015," understreger Reavey.

Alllerede forudsagt af sikkerhedseksperter

At malware er årsagen, var også den forventede konklusion fra Microsoft. I sidste uge blev dette rootkit - der også kaldes både TDSS, Tidserv og TDL3 - fremhævet af sikkerhedseksperter som den mest sandsynlige årsag.

Få timer efter udgivelsen 9. januar af MS10-015 og 12 andre sikkerhedsopdateringer, begyndte brugerne at rapportere, at deres computere ikke ville starte op igen. To dage efter havde Microsoft sat en stopper for den automatiske distribution af MS10-015 og igangsat en undersøgelse, der afslørede, at malware sandsynligvis var årsagen.

Onsdag i denne uge gik Reavey ud med samme historie som de uafhængige eksperter, som tidligere havde placeret skylden på en adressekonflikt mellem MS10-015 og rootkittet.

"Malwarens programmører ændrede i Windows' adfærd ved at forsøge at få adgang til en specifik adresse i hukommelsen i stedet for at lade Windows afgøre adressen," forklarer Reavey.

"Da MS10-015 blev downloadet og installeret blev adressen ændret for noget Windows-kode. Ved næste opstart crashede malware-koden, fordi den forsøgte at kalde en specifik adresse i noget Windows-kode, som ikke længere indeholdte den samme funktion af styresystemet."

MS10-015 retter en 17 år gammel fejl i alle 32 bit-versioner af Windows.

Reavey erkender, at Microsofts kvalitetskontrol af opdateringerne ikke fangede konflikten, men forklarer, at det er svært at teste for interaktion med malware. "Denne type inficeringer efterlader ofte maskinen i så ustabil en tilstand, at den ikke kan testes pålideligt," siger Reavey.

Han bekræfter også, at alle 32 bit-versioner af Windows i princippet er sårbare over for de problemer, som Alureon er skyld i, heriblandt Windows 7, selvom størstedelen af klagerne er kommet fra brugere af Windows XP.

Det burde dog heller ikke komme som nogen overraskelse, da XP er det mest brugte styresystem på verdensplan.

Skal måske geninstallere Windows

Selvom adskillige sikkerhedsfirmaer har offentliggjort instruktioner og værktøjer til at hjælpe brugere, der er fanget i den blå fejlmeddelelse, har Microsoft ingen råd at give til de kunder, der allerede er ramt af problemet.

Reaveys anbefaling er brutal: "Hvis man som kunde ikke med sikkerhed kan fjerne rootkittet med antivirus/antimalware-software efter eget valg, er den sikreste anbefaling for ejeren af systemet at lave backup af vigtige filer og derefter geninstallere systemet på en nyformateret harddisk," siger han.

Han tilbyder dog ingen forklaringer om, hvordan brugere kan genvinde kontrollen over deres pc'er, som ikke vil starte op.

Kaspersky Lab tilbyder en mindre ekstrem løsning med et gratis værktøj, der finder og fjerner rootkittet (download her som zip-fil til Windows-pc). Symantec opfordrer brugerne til at erstatte rootkit-inficerede drivere med nye kopier.

Det er dog Microsofts hensigt at stille en løsning til rådighed til at fjerne Alureon-rootkittet fra inficerede pc'er, men Reavey oplyser, at der vil gå "nogle få uger," før den er klar.

Før i tiden har Microsoft brugt sit Værktøj til fjernelse af skadelig software, som er et gratis program, der opdateres på hver af Microsofts regelmæssige opdateringstirsdage, til at fjerne rootkits. Den næste planlagte opdatering af Værktøj til fjernelse af skadelig software ligger 9. marts om næsten tre uger.

Da rootkittet kun inficerer 32 bit-versioner af Windows, er Microsoft igen begyndt at udsende MS10-015 til 64 bit-systemer via den automatiske opdatering.

Oversat af Thomas Bøndergaard

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Defence Tech Denmark hjælper virksomheder med at bringe innovation ind i forsvarssektoren

    Annonceindlæg fra Computerworld

    Defence Tech Denmark hjælper virksomheder med at bringe innovation ind i forsvarssektoren

    Et nyt nationalt initiativ fra Industriens Fond, EIFO og Innovationsfonden – eksekveret af DTU Science Park og Teknologisk Institut– skal bygge bro mellem startups, SMV’er og Forsvaret.

    Rambøll Management Consulting

    Senior Software Engineer

    Midtjylland

    BEC

    Java software engineer (regular)

    Region Sjælland

    Netcompany A/S

    Managing Architect

    Midtjylland

    Netcompany A/S

    Microsoft Operations Engineer

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    VisionBird har pr. 1. november 2025 ansat Kelly Lyng Ludvigsen, 38 år, som Seniorrådgiver. Hun skal især beskæftige sig med Rådgivning og undervisning i Contract Management. Hun kommer fra en stilling som Contract Manager hos Novo Nordisk. Hun er uddannet Cand. jur. og BS fra CBS. Hun har tidligere beskæftiget sig med Contract Management i flere roller i både det private, offentlige og som konsulent. Nyt job

    Kelly Lyng Luvigsen

    VisionBird

    Norriq Danmark A/S har pr. 1. september 2025 ansat Søren Vindfelt Røn som Data & AI Consultant. Han skal især beskæftige sig med at effektivisere, planlægge og implementere innovative, digitale løsninger for Norriqs kunder. Han kommer fra en stilling som Co-founder & CMO hos DrinkSaver. Han er uddannet Masters of science på Københavns IT-Universitet. Nyt job

    Søren Vindfelt Røn

    Norriq Danmark A/S

    Netip A/S har pr. 19. august 2025 ansat Burak Cavusoglu som Datateknikerelev ved afd.Thisted og afd. Rønnede. Nyt job

    Burak Cavusoglu

    Netip A/S

    Danske Spil har pr. 1. oktober 2025 ansat Jesper Krogh Heitmann som Brand Manager for Oddset. Han skal især beskæftige sig med at udvikle og drive brandets strategi og sikre en rød tråd på tværs af alle platforme og aktiviteter. Han kommer fra en stilling som Marketing & Communications Manager hos Intellishore. Nyt job

    Jesper Krogh Heitmann

    Danske Spil

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Kæmpe opdatering i nat: Nu kan MobilePay fuldstændig erstatte Apple Pay
    2 Her er årsagen: Derfor gik Cloudflare og store dele af internettet ned i seks timer
    3 Fransk dommer vakte Trumps vrede – nu er hans kreditkort og konti hos Amazon, Airbnb og PayPal lukket ned
    4 Test: Denne AI-supercomputer i mikro-format er langt mere anvendelig, end du tror
    5 Datatilsynet bestormes af hundredevis af bekymrede danske bilforhandlere efter kæmpelæk af bilejeres data
    6 Han lejede servere ud til hackere bag angreb på dansk høreappartsgigant og Vestas: Nu er han på amerikansk sanktionsliste
    7 Andel gør klar til at købe it-konsulenter for op til 100 millioner kroner
    8 Morgen-briefing: Systematic fylder 40: Hvad er stifter Michael Holm mest stolt af? / Bestyrelsesmedlem forlader OpenAI: Alt for tæt kontakt med Epstein / WhatsApp-fejl fører til sporing af 3,5 milliarder numre: “Største læk nogensinde”

    Se seneste uge