米Microsoftは2月17日夜(現地時間)、同社が今月2月に定期アップデートとして配布したアップデータMS10-015を適用した一部ユーザーのWindowsマシンでブルースクリーンが発生して起動できなくなる現象について、その原因と対策を発表した。

同社は2月9日にMS10-015の配布を開始したが、その直後から前述のブルースクリーン問題に関するレポートが多数上がってきたことを受け、一時的にパッチの配布を停止した。同問題の発生状況はSearchSecurityなどがレポートしているが、主にWindows XPの一部ユーザーで発生していることが判明しており、XP固有のモジュールまたは何らかのソフトウェアが悪影響を及ぼしている可能性が指摘されていた。

その後、XPに感染したマルウェアが仕掛けたrootkitが原因ではないかという説が持ち上がり、Microsoft Security Response Center (MSRC)も17日付けの発表でAlureonと呼ばれるマルウェアのrootkit機構に起因するトラブルであることを確認した。

rootkitはマルウェアなどがWindowsカーネル内部に潜り込んで自身を隠すテクニックとして用いられるもので、駆除が難しいばかりでなく、発見そのものが難しいという特徴がある。そのため、当該ユーザーが気付かずに運用を続けているというケースも多い。

MSRCではこの種のマルウェアの完全駆除は非常に難易度が高いため、最も安全な手段として重要ファイルのバックアップとWindowsの再インストールを勧めている。

だが当面の対策を必要とするユーザーには、この情報だけでは不十分だ。SearchSecurityでは、マルウェアの影響下にある「atapi.sys」を修復するのが近道であり、その手順としてPatrick Barnes氏の紹介している手法を紹介している。

Barnes氏の方法はシンプルで、WindowsのブートCDから正常なatapi.sysを抜き出して、マルウェアに侵されたatapi.sysを置き換えるというものだ。詳細な手順はBarnes氏のサイトで確認してほしいが、ブートCDからマシンを起動した後に修復コンソールを呼び出し、CDドライブから必要ファイルをコピー、元のファイル名を変更した後にコピー後のファイルを解凍するだけだ。

これでブルースクリーン状態から解放され、とりあえずマシンの正常動作が可能になるため、再起動後にウイルススキャンをかけて残りのマルウェアの洗い出しを行えばいい。Barnes氏はさらに、ブルースクリーンの原因になっているのはatapi.sysだけでなく、他のドライバなどが影響している可能性もあるため、ウイルスチェックを再度行う必要があると注意を促している。