Перейти к содержанию
Lemmit

Microsoft изменяет файлы Windows без ведома пользователей

Recommended Posts

Lemmit

Специалисты сообщают о необычном поведении операционных систем Windows XP и Vista в последние дни.

Цитата:

"Некоторые из них по команде посреди ночи начали обновлять системные файлы в обход традиционной процедуры автоапдейта. Причём файлы обновлялись даже в том случае, если в системе отключена функция автоматического обновления. Программа Windows Update (WU) взяла на себя все полномочия и без всяких диалогов с пользователем самостоятельно заменила девять файлов.

Такой самообновляющийся компьютер уже нельзя назвать полностью подконтрольным своему хозяину.

Конечно, Microsoft делает это в целях безопасности самих юзеров, но такое отношение к пользователям как к стаду баранов довольно оскорбительно. Кроме того, реализуя подобную процедуру глобального обновления компания сама становится источником потенциальной опасности.

Под операционной системой XP SP2 обновились следующие файлы: cdm.dll, wuapi.dll, wuauclt.exe, wuaucpl.cpl, wuaueng.dll, wucltui.dll, wups.dll, wups2.dll, wuweb.dll.

Под Vista обновились wuapi.dll, wuapp.exe, wuauclt.exe, wuaueng.dll, wucltux.dll, wudriver.dll, wups.dll, wups2.dll, wuwebv.dll.

Первые сообщения о необычном апдейте появились 24 августа, но на некоторых машинах апдейт происходил даже на прошлой неделе.

Специалисты по безопасности не скрывают своего недоумения".

Источник:

http://www.stopvirus.ru/index.php?id=141&tx_ttnews[tt_news]=146&tx_ttnews[backPid]=138&cHash=eac7c761a2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

Да, эта статья убила.

Мы глобальной политикой службу обновлений отключили в сети у всех.

Попыток обновлений не зафиксировали.

Похоже что-то серьезное было.

Возможно такую функцию Microsoft оставили для устранения "очень серьезных дыр". Не будет же "гигант" ошибочно или по приколу так делать.

Пугает одно - какие ещё "зомбированные функции" в Windows утаили от пользователей. (особенно в Win Vista - винда блин нового поколения :-) ) :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Пугает одно - какие ещё "зомбированные функции" в Windows утаили от пользователей.

Угу... А также насколько надёжно эти "зомбированные функции" спрятаны от троянописателей...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём

Вопрос!

А фаервол спасает от этого самоуправства? :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
А фаервол спасает от этого самоуправства?

Обычно все действия обновлятора разрешены по-дефолту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
Обычно все действия обновлятора разрешены по-дефолту.

Это понятно!

У меня запрещено, значит не проберутся?

Спрашиваю в контексте:

какие ещё "зомбированные функции" в Windows утаили от пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
У меня запрещено, значит не проберутся?

А как? Полностью закрыт доступ в сеть для svchost.exe, что ли? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
А как? Полностью закрыт доступ в сеть для svchost.exe, что ли? =)

Вы лучше на вопрос ответьте! :P

Да, ещё, у меня служба Обновления Windows остановлена! И многие другие 8)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Хм, у меня, например, последнее изменение wuauclt.exe от 30/07/07, wups.dll -тоже.

А пишут вроде про август.

Народ, посмотрите у себя, плз, интересно.

Добавлено спустя 1 минуту 31 секунду:

А как?

Только по адресам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
Народ, посмотрите у себя, плз, интересно.

У меня тоже самое! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Вы лучше на вопрос ответьте! Razz

Да, ещё, у меня служба Обновления Windows остановлена! И многие другие

Выход в сеть для процесса svchost.exe запрещен? Если на вопрос ответ "ДА", то Вы надежно защищены :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vorobey1
Хм, у меня, например, последнее изменение wuauclt.exe от 30/07/07, wups.dll -тоже.

А пишут вроде про август.

Народ, посмотрите у себя, плз, интересно.

Добавлено спустя 1 минуту 31 секунду:

А как?

Только по адресам.

У меня тоже 30.07.2007г

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

а есть уверенность в том, что файлы были скачаны без разрешения. Возможно обновление было инсталлировано именно в это время.

Случайно никто не написал, что основной особенностью обновления было

то, что микрософт сделал это удаленно ручками без подключения к сети :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
а есть уверенность в том, что файлы были скачаны без разрешения. Возможно обновление было инсталлировано именно в это время.

Корпорация Microsoft ответила на обвинения в том, что файлы на компьютерах пользователей Windows изменялись без согласия на то владельцев.

Один из программных менеджеров Microsoft написал пост в свой блог, пояснив, что те самые 9 файлов были файлами, относящимися к сервису Windows Update. Microsoft, оказывается, обновляет их время от времени, чтобы быть уверенной в работоспособности сервиса.

"Если бы мы не обновляли сервис, могло бы случиться так, что пользователи не смогли бы проверить наличие обновлений, - пишет продукт-менеджер Нэйт Клинтон. - Но с такими обновлениями пользователи могут быть уверены в работоспособности своей системы даже при отключении автоматического обновления."

http://www.xakep.ru/post/40195/default.asp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Вы лучше на вопрос ответьте! :P

Дык я бы ответил, но не знаю, каким образом апдейты эти закачиваются.. Например, если это через стандартный BITS, то это будет от имени svchost.exe. И тогда я очень сомневаюсь, что отключение службы апдейтов как-то ему помешает. А закрыть ему полный доступ в сеть нежелательно, ибо на нём многие сервисы висят... В фаере Висты, правда, можно закрыть доступ конкретному сервису. Так можно BITS заблокировать, я полагаю. Но опять же, я не уверен, что в данном случае речь о нём.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
а есть уверенность в том, что файлы были скачаны без разрешения

У меня обновления винды разрешаются только на второй неделе месяца, не люблю лишние процессы и службы, а здесь уже есть подтверждения о 30/07.

Чот инфы не хватает.

Но если это правда, то я пожалуй задумаюсь о полном отказе от винды. Пошли они нах, думать каждый раз за меня.

Интуитивность и удобство компенсируются совсем другими интуитивностями и удобствами.

Надо разобраться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Но если это правда, то я пожалуй задумаюсь о полном отказе от винды.

Ого! Круто вы =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
Так можно BITS заблокировать

Так есть ещё служба "Фоновая интеллектуальная служба передачи (BITS)". Она тоже отключена. Значит не смогут обновить? Или есть ещё способы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Странная новость...

Очень странная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Странная новость...

Очень странная.

Пожалуй даже хреновая хрень.

Добавлено спустя 6 минут 6 секунд:

Ого! Круто вы =)

А то. :)

Бум смотреть.

Ясень день .

Не всё сразу.

Но хреновый повод так сразу измениться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Хм... а у меня wuauclt.exe другой версии (WinXP)...

7.0.6000.374 (winmain(wmbla).070416-2057) т.е. от 16.04.07

И при этом включены почти все службы, и абновление автоматическое... Она только спрашивает, когда установить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

У меня wuauclt изменен в 2005 году. Скорее всего, это все делается через BITS. В любом случае svchost никуда ходить не должен.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

АНБ пофиксило баг в своих фичах:

Теперь нас будут [edited] больше, чаще и лучше! 8)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Стоит отметить, что реакция сообщества слабоватая..

Например где крики пользователей, у которых установлен жесткий контроль за версиями системных приложений и их целостностью. Получается: или системы не работают или выключены :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Получается: или системы не работают или выключены

Обычно подобные настроены на исключение из списка контроля файлов подписанных МС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×