[Перевод] Microsoft использует приёмы зловредов для продвижения Windows 10
Как многие успели заметить, Microsoft применяет настойчивую и постоянно изменяющуюся тактику для повторного запуска на компьютерах приложения «Get Windows 10» или GWX, так что от него довольно трудно избавиться.
Те, кто отклоняет предложение, вскоре снова сталкиваются с ним много раз [что некоторых очень раздражает — прим.пер.]. Для борьбы с GWX больше подходят методы борьбы с вредоносными программами.
GWX действительно похожа на вирус: она использует канал, предназначенный для одной цели (обновления безопасности), c другой целью (реклама); она изменяет «векторы» атаки»; использует «полиморфные» техники для обхода фильтров; постоянно изменяет установленные пользователем настройки и разрешения.
В технической прессе подробно освещали, как убрать обновление KB3035583, которое постоянно появляется в системе даже после удаления. Однако изучение проблемы показало, что KB3035583 — скорее симптом, а не причина повторного инфицирования GWX.
Обновление KB3035583 обычно переустанавливается с помощью другого обновления KB2952664. Как только '664 попало в систему ,'583 запрашивается с сервера для скачивания и установки. Таким образом, именно '664 может быть ключевым элементом для управления назойливой кампанией «Get Windows 10».
«Нынешние патчи [вроде GWX Control Panel — прим.пер.] не в полной мере исправляют эту ситуацию, и я не думаю, что они когда-либо исправят её, поскольку автор патча GWX изолирует только исполняемый файл GWX и обновление '583», — написал читатель, который провёл для нас подробное расследование.
Изучение работы обновления '664 объясняет, почему так сложно контролировать GWX. Обновление постоянно «мутирует» — оно часто изменяется и содержит иную нагрузку. Microsoft не документировала его поведение и уже давно отказалась от объяснений, что обновления KB делают на самом деле.
Системные логи содержат хронику частых изменений '664.
Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.1 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.3 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.3.0 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.1 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.4 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.5.3 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.6.1 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.7.4 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.8.2 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.6 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.8 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.10.5 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.14.2 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.15.2
Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.1.3 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.2.1 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.2.3 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.3.0 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.4.1 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.4.4 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.5.3 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.6.1 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.7.4 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.8.2 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.9.6 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.9.8 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.10.5 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.14.2 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.15.2
Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.1 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.3 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.3.0 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.1 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.4 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.5.3 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.6.1 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.7.4 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.8.2 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.6 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.8 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.10.5 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.14.2 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.15.2
Windows Update считает каждую новую версию новым обновлением и новым объектом для инсталляции. Так что каждый раз, когда Microsoft изменяет номер версии KB2952664, все предыдущие попытки пользователя заблокировать обновление аннулируются.
Многие не знают, что удаление из системы KB3035583 или KB2952664 деинсталлирует только одну версию патча. Позже он будет переустановлен с альтернативной версией. Сам файл с пакетом KB2952664 кешируется в папке C:\Windows\SoftwareDistribution\Download
. Фильтрация дампа реестра на тестовой машине показала более 80 записей реестра, связанных с установкой '583 и '664, главным образом в разделах HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\PackageDetect
и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages
.
Пока вы не избавитесь от ВСЕХ системных обновлений «Get Windows 10», всплывающее окно GWX продолжит появляться. Следует удалить:
KB2952664
KB3035583
C:\Windows\System32\GWX
C:\Windows\SoftwareDistribution\Download\*KB2952664*
C:\Windows\SoftwareDistribution\Download\*KB3035583*
ВСЕ записи реестра с KB2952664
(желательно) KB3035583
Так называемый «патч» для удаления GWX на самом деле только прячет значок с напоминанием «Get Windows 10» из трея, но не отменяет реальную инсталляцию назначенных обновлений Windows 10.
Microsoft крайне затруднила удаление GWX понятным способом. Его нельзя автоматизировать, и если вы пропустите одну из 80 записей в реестре, процесс возобновляется.
Количество записей в реестре зависит от того, какие предыдущие версии KB2952664 устанавливались и в каком количестве. Для изменения некоторых записей в реестре нужно переустановить разрешения, что затрудняет задачу.
Наш местный сисадмин и блогер Тревор Потт (Trevor Pott) советует системным администраторам предпринять три шага. Во-первых, запушить изменения в реестре через Group Policy Object (GPO). Во-вторых, убедиться в отсутствии установленных патчей GWX. В-третьих, заблокировать их в службе Windows Server Update Services (WSUS).
«Отсутствие прозрачности, особенно недостаток документации, создаёт огромные проблемы для корпоративных пользователей. Вероятнее всего, это «ложь через умолчание», сказал Потт, потому что документация многих патчей не описывает их поведение в полной мере.
«Microsoft уменьшает количество версий Windows и устраняет пользовательские функции для удаления, задержки, сокращения, фильтрации или блокирования патчей, — говорит Потт. — Сисадмины хотят получить ясное представление, что содержится в патчах, и контролировать все аспекты своих систем —, а получают пакет неопределённой лжи, откровенной лжи и дезинформации».
Официальная позиция Microsoft изложена ниже. Компания сказала нам следующее:
«Потребители могут выбрать вариант не устанавливать обновление Windows 10 или удалить обновление из Windows Update (WU), изменив настройки WU. Приложение Get Windows 10 контролируется через контрольную панель менеджера уведомлений Windows 7 и Windows 8.1, и потребители могут отключить уведомления об апгрейде в системном трее. Значок приложения «Get Windows 10» тоже может быть удалён оттуда.
Для IT-администраторов существует возможность отключить обновление через настройки групповых политик или ключ реестра DisableUpgrade. Все остальные ключи реестра не предназначены для контроля уведомлений или управления процессом апгрейда и не рекомендуются к использованию компанией Microsoft. См. KB3080351 для дополнительной информации».
Но это далеко не полная картина. Совет Microsoft не учитывает того факта, что GWX мутирует и удаление этих апдейтов не избавляет от появления GWX в будущем.
На прошлой неделе админам пришлось избавляться от обновления безопасности IE, которое создало новый вектор атаки для GWX. Похоже, неудобства пользователей не кажутся особой проблемой, так что Microsoft продолжает использовать эту рекламную схему.
В своё время компания Microsoft стремилась подчеркнуть, что облачные сервисы конкурентов не преуспеют, пока пользователи не станут им доверять. Но её сверхагрессивная тактика с приёмами, типичными для вредоносного ПО, и отсутствие прозрачности наталкивают на мысль, что Microsoft хорошо бы прибраться в своём собственном хозяйстве.