走近科学：三星电脑恶意禁用Windows更新“丑闻”

近期有Windows用户反映称，自己的三星电脑上Windows自动更新程序会被随机禁用，这个给他们的PC安全带来了安全隐患。禁用Windows更新的程序名为Disable_Windowsupdate.exe，这个程序是三星SW Update软件的一部分。

SW Update是典型的OEM更新软件，这个软件被用来更新三星的驱动程序，同时也会更新一些三星自己的软件。与其他OEM更新软件不同的是，三星的这款更新软件会禁用Windows自动更新！

受影响系统版本

Windows XP (all Service Packs) Windows Vista (x86/x64) Windows 7/SP1 (x86/x64) Windows 8/8.1 (x86/x64)

需要注意，这些版本都是在三星机器环境下进行检测的。如果我们有什么疏漏，欢迎补充。

卸载/移除三星SW Update

SW Update在Windows添加/删除（卸载和更改程序）中有列出来，它可以向其他正常软件一样从系统中删除。将其卸载后重启机器，它不会被移除。SE Update Service仍然活跃运行着，存在于\ProgramData\Samsung文件夹下面的"Disable_Windowsupdate.exe"程序依旧还在。

首先，经过传统卸载之后，还需要在注册表中删除一些值

译者注：由于信息量太大，编辑器无法保存，文后我会附加到网盘中。

正如你所见到的，它能删除与该服务相关的键值。

HKLM\SOFTWARE\Samsung\SW Update\AgentPath: "C:\ProgramData\Samsung\SW Update Service\SWMAgent.exe"

然而，我们在注册表中快速查找这个键值

可以看到该服务依旧还在。

正如我前面提到的，这可能是卸载发生在非三星环境中，因此卸载进程可能被中断了或者不能如预期一样正常工作。这仅仅是我的一个猜测，然而在三星环境中甚至也会发送这种情况。

因为我没有一个正式的三星环境用来测试，我无法评论说通过传统卸载方式能够移除，希望能够移除吧，彻底的！

如果你是一个三星用户，如上面所说先通过正常卸载方式进行卸载，如果依旧存在的话就只能够通过手工卸载，或者是等待三星发布工具进行卸载了，就和前短时间联想的Superfish一样。

接着我们来讲讲如何发现它：

不久之后...

-------

这里还有其他 Object值的名称：

1.CachedAUOptions 2.InstallInProgress, 3.UpdatesAvailableForInstallLogon 4.UpdatesAvailableWithUiLogon 5.UpdatesAvailableWithUiOrEulaLogon 6.FirmwareUpdatesNotDownloaded 7.FirmwareUpdatesNotInstalled

可恶罪行

首先，正如我之前提到过的，最好不要在非三星环境下尝试运行三星的更新软件。我的虚拟机就截个图片都能遇到重启，所以每张截图会有几分钟的间隔。

安装SW Updata之后，Windows更新就这样了

注意看第二张图片的“检测更新并让我选择是否下载并安装”选项，将其更改为“自动安装更新（推荐）”选项

真棒，接下来我们重启看看

日了狗，又变回来了。我们再检查下设置

于是我联系上了三星的客服，以下是聊天记录（Rep为客服名称，ringzero即是本文作者）：

Rep: Hi, 感谢你找到我们三星技术支持. 我可以帮到你什么么? ringzero: Hi Rep, 我对你们家的 SW Update软件有些问题. Rep: Hi Ringzero, 请详细说说你的问题吧. Rep: 我很乐意帮助你的. ringzero: 谢谢Rep! 我的问题是, 为什么这个软件主动监视我的注册表，以及通过强行禁用Windows更新? Rep: SW Update工具帮助你的笔记本自动检查硬件并为他们安装支持的驱动程序。这个工具并不会影响到你的注册表以及Windows的正常更新。 ringzero: Rep,你恐怕是搞错了吧 SW Update包含一个名为 "Disable_Windowsupdate.exe"的exe文件 ringzero: 当SW Update完成安装之后, Windows Update就被禁用了. 如果你将其设置为你喜爱的选项，在重启之后又强行被禁用了. ringzero: 如果SW Update被卸载, Windows Update始终保持着其选项. Rep: 谢谢你的等待， 等我一会马上就回来. ringzero: 好的.

Rep: 当你启用Windows updates, 它会安装一个默认的驱动程序，否则可能导致笔记本不工作. 举例来说你的笔记本支持USB3.0, 安装更新之后这个端口可能会不能正常工作，所以为了保护SW Update工具将阻止Windows更新！

感谢代表这三星的Rep，我们终于知道三星禁用Windows更新的动机咯。

OEMs，继续啊。难道真忘了联想Superfish的教训？

目前已经将此事报告给Microsoft/MSRC，难道现在禁用Windows更新成为了时尚？

*参考来源：blogspot，编译：鸢尾，转载需注明来自FreeBuf黑客与极客（FreeBuf.COM）