Как пишет в своем блоге Патрик, через форум Sysnative к нему обратился пользователь ноутбука Samsung, у которого возникла странная проблема с работой сервисов Windows Update. В ходе исследования системы на предмет вирусов, специалист, который, между прочим, является Microsoft MVP, выявил исполняемы файл, ответственный за отключение службы обновления. К его удивлению им оказался файл с недвусмысленным названием Disable_Windowsupdate.exe и цифровой подписью компании Samsung, который хранится в папке C:\ProgramData\Samsung.
В ходе расследования, Баркер обнаружил, что система обновлений Samsung SW Update загрузила и запустила данный файл на исполнение. Он в свою очередь внес изменения в системный реестр, намертво отключив службу Windows Update.
При обращении в службу технической поддержки Samsung ему с неохотой, но подтвердили, что их ПО действительно может отключать получение официальных обновлений Windows:
Сотрудник ТП: Здравствуйте, спасибо, что Вы обратились в техническую поддержку Samsung. Чем я могу помочь Вам?
Баркер: Здравствуйте, у меня есть вопрос относительно вашего программного обеспечения для обновления, SW Update.
Сотрудник ТП: Пожалуйста, задавайте вопрос.
Сотрудник ТП: Я буду рад помочь Вам.
Баркер: Спасибо! Вот мой вопрос: почему эта программа активно мониторит реестр и намеренно калечит центр обновления Windows, принудительно его отключая?
Сотрудник ТП: Инструмент SW Update помогает автоматически обнаруживать оборудование на ноутбуке и устанавливает драйвера для них. Этот инструмент напрямую не влияет на реестр Вашего ноутбука или обновления Windows.
Баркер: Боюсь, что Вы не правы. Система обновлений закачивает exe-файл с именем «Disable_Windowsupdate.exe»
Баркер: Когда SW Update установлен, центр обновления Windows оказывается отключен. Если он включен изначально или установить настройки вручную, то служба Windows Update будет повторна отключена после перезагрузки.
Баркер: Если ваш SW Update удалить, то после перезагрузки служба Windows Update все равно остается отключенной.
Сотрудник ТП: Спасибо за ожидание. Я вернусь к Вам через минуту.
Баркер: Конечно.
Сотрудник ТП: Когда Вы включите службу обновления Windows, она установит стандартные драйверы для всех аппаратных средств ноутбука, которые могут и не работать. Например, если на ноутбуке есть USB 3.0, порты могут не работать после установки штатных обновлений. Поэтому, чтобы не допустить этого, наш инструмент предотвратит обновление Windows.
Хэш-суммы для файла Disable_Windowsupdate.exe:
x86 MD5 — 3727acd09814c0d5ce8fd3d6be705254
x64 MD5 — d0a3a1c266845ef1e2cdf65c226facae
x86 SHA-256 — 61da7461e8a60a20e9d2b595edff89a0898c8f2d47d2be847c8a7ceff0fc4bd4
x64 SHA-256 — 7b9547acf8b3792b48fe5a02f7d5f3e0dfba8e57055d60f479bb8adfed99871c
UPD
Изданию The register удалось получить довольно странный комментарий от компании Samsung:
Это неправда, что мы блокируем обновление операционной системы Windows 8.1 на наших компьютерах. В рамках наших обязательств по удовлетворению потребностей пользователей, мы предоставляем им возможность выбора, в случае, они хотят обновить программное обеспечение Windows.
Мы относимся к безопасности продукции очень серьезно и призываем всех клиентов Samsung с вопросами или опасениями обращаться к нам напрямую по телефону 1-800-SAMSUNG.
UPD2
По данным нескольких новостных статей, компания Samsung сделала еще одно заявление:
Samsung стремится к безопасности и мы по-прежнему ценим наше партнерство с Microsoft. В течение нескольких дней мы выпустим патч через нашу систему обновлений для возврата к рекомендуемым параметрам автоматического обновления Windows.
Комментарии (42)
Andrusha
24.06.2015 18:47+6Вряд ли в Samsung не в курсе, что в Windows Update можно запрещать отдельные обновления — скорее всего, им просто лень заморачиваться с мониторингом WU и проверкой на совместимость.
А вообще, мне казалось, что этот бред с нестандартными драйверами (когда на ноутбук от Sony не ставились дрова с сайта производителя видеочипа, только с сайта Sony) уже закончился лет 5 назад. Увы.
Alexsey
24.06.2015 19:27+1Да все так же как и раньше — на мой ноутбук (Samsung) на момент покупки банально не было родных амдшных драйверов на дискретную видеокарту, а в самсунговских не работала софтина для управления переключением между видеокартами. Какое-то время приходилось применять всякие извращения вроде ручного переключения профилей питания.
nmk2002
24.06.2015 18:51+8Разве Windows не должен детектировать такое приложение, как зловред?
kemko
24.06.2015 18:53+7Не думаю, что это правильное решение. Прямой вред прямо сейчас таким поведением же системе не наносится, а слишком умный антивирус — это не то, что очень нравится. Вон, сегодня видел, как Eset блокирует запуск nmap, ибо тот «Преступления и наркотики» (за точность формулировки не ручаюсь). Но файл подписан Самсунгом, и наехать на него как на партнёра за это, на мой взгляд, более, чем стоит.
gorodianskyi
24.06.2015 20:42-12Большинство пользователей пиратской Windows, так или иначе отключают обновления. Ведь может слететь активация. Помню, когда все знакомые в один прекрасный день начали масово звонить, и говорить, что Windows просит активации. Видимо Microfost сделала чистку. Да и не у всех интернет безлимитный, чтобы скачать гиг обновлений (да, да, и такое есть). А кто-то просто не хочет ждать, пока пол часа будут устанавливатся обновления.
В меня, к примеру, был случай, когда обновление Microsoft увело ноутбук в BSOD. Пришлось гуглить, и через командною строку, длинными командами, вручную удалять конкретное обновление. Проблема оказалась довольно таки популярной.
Egor3f
24.06.2015 21:19Случаем не обновление драйвера встроенной графики Intel HD?
У меня одно из таких обновлений пару лет назад уводило ноутбук в BSOD при подключении монитора.
Griffonn
24.06.2015 22:31В некоторых моделях ноутбуков Dell (у меня Inspiron 15R late 2012, встречал еще парочку) при обновлении с «родной» Windows 8 на 8.1 примерно со второй пачкой обновлений прилетало что-то, что приводило к отсутствию UI, помогала только предварительная установка бета драйверов с ftp Интела (предварительная = до обновления на 8.1, иначе потом в safe mode не попасть).
dordzhiev
24.06.2015 21:22+2В меня, к примеру, был случай, когда обновление Microsoft увело ноутбук в BSOD.
Проблема оказалась довольно таки популярной.
А у вас лицензионная Windows? :)
kAIST
25.06.2015 12:45+1У меня лицензионная и было пару раз такое, что очередное обновление приводило к невозможности загрузки. Один из случаев был связан с ssd, насколько я понял.
vladon
25.06.2015 14:51Вы считаете, что для лицензионных и нелицензионных Windows MS выпускает разные обновления?
dordzhiev
25.06.2015 15:06+1Я такого точно не говорил, даже не представляю как вам пришла такая мысль.
Чтобы исключить какие либо вопросы в будущем (а то меня уже минусовать начали): одним из самых распространенных способ обхода активации является патчинг ядра. Соответственно, когда MS высылает обновления ядра, на взломанных виндах появляются БСОДы или глюки (как недавний 0x00000005).vladon
25.06.2015 15:08+1Одним из самых распространённых способов обхода активации является… как ни странно активация (напр., ms toolkit) без всяких патчингов ядер, а с помощью подмены KMS.
orcy
24.06.2015 21:20-2На своем ноутбуке я отключил обновления Windows потому как драйвера которые он ставит сбивают работу драйверов для видеокарт, которые я нашел и специально поставил. Скорее всего Самсунг столкнулись с похожей проблемей и так запросто ее решили не заморачиваясь. Причем у меня на Windows 10 Preview отключение Windows Update — этот тот еще квест, я бы от Disable_Windowsupdate.exe не отказался :)
Еще интересно что тех.поддержка самсунга в состоянии отвечать на такие вопросы.
Rikcon
24.06.2015 23:27Я тоже был удивлён что сотрудник не ответил что-то в духе «я не располагаю такой информацией».
Может быть тут свою роль сыграло что человек известный в технических кругах так сказать?
kuber
24.06.2015 21:50>> Еще интересно что тех.поддержка самсунга в состоянии отвечать на такие вопросы.
Было бы интересно если бы сотрудник тех. поддержки с ходу ответил на вопрос, а не стал сразу же отрицать влияние их ПО на систему обновления.
ingumsky
24.06.2015 23:01+1Так это первая линия была. Там сотрудник просто не в теме.
kuber
25.06.2015 06:41+2>> Так это первая линия была. Там сотрудник просто не в теме.
Если сотрудник не в теме, то он должен был проконсультироваться с теми, кто в теме, а не врать.ingumsky
25.06.2015 11:03+2Почему сразу «врать»? Он рассказал, что знал. Когда клиент дал понять, что это не так, сотрудник ушёл консультироваться с теми, кто знает лучше. На то это и первая линия поддержки.
kuber
01.07.2015 09:48т.е. это
«Этот инструмент напрямую не влияет на реестр Вашего ноутбука или обновления Windows.»
не враньё?
glazik
24.06.2015 23:18-7Не ради рекламы, но к месту.
Решение, которые мы разрабатываем в Fixico, помогает избежать, в том числе, и такие проблемы.
Мы сами ставим апдейты только после того как их проверили специалисты IBM и наши сис-амины. Вероятность того, что очередной апдейт приведёт у BSOD — очень мала. А поскольку мы ставим апдейты не через Windows Update, выключенная галочка на апдейты — нам не помеха. (конечно всё можно настроить под себя)
k1b0rg
25.06.2015 08:19Аналогичная фигня была с драйверами Lenovo y460 — Intel'овский драйвер подменял системные файлы и обновление системы переставало работать.
Sauron
25.06.2015 13:04+2По-моему это вредительское поведение. Отсутствие апдейтов делает систему уязвимой.
Как минимум Самсунговский софт должен был бы спрашивать пользователя, разрешает ли он отключить апдейты или нет (и, соответственно, описать чем пользователь рискует в обоих случаях).
ildarz
25.06.2015 13:17Если я правильно понимаю, то указанный Самсунговский софт решает ту же самую задачу, попутно обновляя не только винду, но и некоторые другие компоненты. А две параллельно работающие службы обновления в общем-то ни к чему.
Sauron
25.06.2015 13:23+1Сторонний софт может обновлять Винду официальными апдейтами? Интересно. Это точно или только предположение?
ildarz
25.06.2015 13:50+3Конечно. Для стороннего софта нет никакой проблемы использовать тот же механизм Windows Update.
P.S. Почитал оригинальную статью — если я всё правильно понял, то отключается даже не служба Windows Update как таковая, а только режим автоматической установки обновлений.
navion
27.06.2015 02:48Можно через wusa.exe, главное чтобы была правильная цифровая подпись.
Так работает приблуда от IBM:
monah_tuk
25.06.2015 14:20+1Например, если на ноутбуке есть USB 3.0
Оооох как я их понимаю. Делаем UVC USB 3.0 устройство, такую феерию наблюдаем, мама не горюй:
- Intel — вцелом наиболее адекватные что драйвера, что железо, что под Win, что под Lin, что под Mac (под мак только они)
- ASMedia — второй по популярность контроллер (ASM 1042A в частности, хотя есть и более новые): стандартные драйвера обновлять СРАЗУ. Может терять устройство, устройство может не обнаруживаться (хотя есть в диспетчере устройств) после выхода из суспенда, ренумерация на Linux работает через раз плюс куча других мелочей, в частности тормоза трансферинга: FullHD, YUY2 фреймы прокачиваются часто не быстрее 50-55FPS
- Renesas (NEC), Etron, VIA: обновлять драйвера СРАЗУ. На Renesas был замечен баг при работе UVC (3.0 только): внутри фрема могли меняться местами два payload: должен идти 10, к примеру, а идут 9, 11, 12, 13, 14 и так подряд энное количество, а потом, бац и 10 примерно: 20, 10, 21, 22, 23 и так далее. Обновление драйвера вырулило, но максимальный реальный FPS стал 46. Одна плата на Etron (правда сборка noname, может в этом дело), подала по шине питания 12В спалив контроллер устройства.
Причем на тех же платах в режиме USB 2.0 всё работает нормально.
Обновление подразумевает ОС семейства Windows. Я опускаю, что неработоспособность/работоспособность сильно варьируется между XP (ну ок, старьё), Vista (да, кто-то пользуется), 7, 8, 8.1, 10 (preview). Причём, если работает в Win7, не факт, что заработает в 8 или 10 (наоброт, правда, чаще, что логично).
Но, в целом, решение самсунга костыльноё.
Myosotis
25.06.2015 16:11Ужасный костыль. Можно же настроить Windows Update так, чтобы не устанавливал обновления атоматически, но показывал, что обновления доступны. Я даже не припоминаю ситуации, чтобы Windows Update ставил без моего ведома драйвера, чтобы вот так его кардинально вырубать. К ноутбуку дрова всегда ставлю с диска к ноуту.
ibKpoxa
Всё логично, мало ли MS кривые драйвера делает.
ildarz
А действительно, мало ли? Огласите весь список, пожалуйста. Именно драйверов. Причем таких, которые автоматически (а не после выбора вручную) ставятся через Windows Update.
lexfrei
Я могу быть не прав, в винде понимаю мало, но разве не из WU мне прилетают все драйвера и утилиты для железа? Помню, очень удивился, когда увидел как ставятся razer synapse и amd catalyst.
ildarz
Прилетают, но не все. Причем, как правило, делает эти драйвера вовсе не MS, а производитель оборудования. И суть в том, что те, которые я видел, имеют статус опциональных — их нужно вручную отмечать для установки.
a553
Такие есть. У меня, например, висят драйвера на клавиатуру и блютус-свисток в списке установки по-умолчанию, и видеодрайвер в опциональных.
mobilesfinks
за win8 не ручаюсь, но раньше была тотальная проблема со звуком. Windows ставил дрова из windows update и многие карточки звук либо не давали, либо давали только в некоторых приложениях, либо в основном звук был, но в большинстве игр его просто не было. Так что было такое, было однозначно. Сам постоянно доустанавливал аудио дрова после установки Win7
iPharaon
Уже не раз было замечено, что если после установки Windows подключиться к интернету, то через некоторое время у меня сами устанавливаются драйвера для видеокарты. На работе — для встроенной HD 3000, дома — для видеокарты Nvidia, при том, что я в панель управления даже не заходил. Так-же автоматом ставятся драйвера для Intel management engine interface.