专栏首页FreeBuf走近科学:三星电脑恶意禁用Windows更新“丑闻”

走近科学:三星电脑恶意禁用Windows更新“丑闻”

近期有Windows用户反映称,自己的三星电脑上Windows自动更新程序会被随机禁用,这个给他们的PC安全带来了安全隐患。禁用Windows更新的程序名为Disable_Windowsupdate.exe,这个程序是三星SW Update软件的一部分。

SW Update是典型的OEM更新软件,这个软件被用来更新三星的驱动程序,同时也会更新一些三星自己的软件。与其他OEM更新软件不同的是,三星的这款更新软件会禁用Windows自动更新!

受影响系统版本

Windows XP (all Service Packs) Windows Vista (x86/x64) Windows 7/SP1 (x86/x64) Windows 8/8.1 (x86/x64)

需要注意,这些版本都是在三星机器环境下进行检测的。如果我们有什么疏漏,欢迎补充。

卸载/移除三星SW Update

SW Update在Windows添加/删除(卸载和更改程序)中有列出来,它可以向其他正常软件一样从系统中删除。将其卸载后重启机器,它不会被移除。SE Update Service仍然活跃运行着,存在于\ProgramData\Samsung文件夹下面的"Disable_Windowsupdate.exe"程序依旧还在。

首先,经过传统卸载之后,还需要在注册表中删除一些值

译者注:由于信息量太大,编辑器无法保存,文后我会附加到网盘中。

正如你所见到的,它能删除与该服务相关的键值。

HKLM\SOFTWARE\Samsung\SW Update\AgentPath: "C:\ProgramData\Samsung\SW Update Service\SWMAgent.exe"

然而,我们在注册表中快速查找这个键值

可以看到该服务依旧还在。

正如我前面提到的,这可能是卸载发生在非三星环境中,因此卸载进程可能被中断了或者不能如预期一样正常工作。这仅仅是我的一个猜测,然而在三星环境中甚至也会发送这种情况。

因为我没有一个正式的三星环境用来测试,我无法评论说通过传统卸载方式能够移除,希望能够移除吧,彻底的!

如果你是一个三星用户,如上面所说先通过正常卸载方式进行卸载,如果依旧存在的话就只能够通过手工卸载,或者是等待三星发布工具进行卸载了,就和前短时间联想的Superfish一样。

接着我们来讲讲如何发现它:

不久之后...

-------

这里还有其他 Object值的名称:

1.CachedAUOptions 2.InstallInProgress, 3.UpdatesAvailableForInstallLogon 4.UpdatesAvailableWithUiLogon 5.UpdatesAvailableWithUiOrEulaLogon 6.FirmwareUpdatesNotDownloaded 7.FirmwareUpdatesNotInstalled

可恶罪行

首先,正如我之前提到过的,最好不要在非三星环境下尝试运行三星的更新软件。我的虚拟机就截个图片都能遇到重启,所以每张截图会有几分钟的间隔。

安装SW Updata之后,Windows更新就这样了

注意看第二张图片的“检测更新并让我选择是否下载并安装”选项,将其更改为“自动安装更新(推荐)”选项

真棒,接下来我们重启看看

日了狗,又变回来了。我们再检查下设置

于是我联系上了三星的客服,以下是聊天记录(Rep为客服名称,ringzero即是本文作者):

Rep: Hi, 感谢你找到我们三星技术支持. 我可以帮到你什么么? ringzero: Hi Rep, 我对你们家的 SW Update软件有些问题. Rep: Hi Ringzero, 请详细说说你的问题吧. Rep: 我很乐意帮助你的. ringzero: 谢谢Rep! 我的问题是, 为什么这个软件主动监视我的注册表,以及通过强行禁用Windows更新? Rep: SW Update工具帮助你的笔记本自动检查硬件并为他们安装支持的驱动程序。这个工具并不会影响到你的注册表以及Windows的正常更新。 ringzero: Rep,你恐怕是搞错了吧 SW Update包含一个名为 "Disable_Windowsupdate.exe"的exe文件 ringzero: 当SW Update完成安装之后, Windows Update就被禁用了. 如果你将其设置为你喜爱的选项,在重启之后又强行被禁用了. ringzero: 如果SW Update被卸载, Windows Update始终保持着其选项. Rep: 谢谢你的等待, 等我一会马上就回来. ringzero: 好的.

Rep: 当你启用Windows updates, 它会安装一个默认的驱动程序,否则可能导致笔记本不工作. 举例来说你的笔记本支持USB3.0, 安装更新之后这个端口可能会不能正常工作,所以为了保护SW Update工具将阻止Windows更新!

感谢代表这三星的Rep,我们终于知道三星禁用Windows更新的动机咯。

OEMs,继续啊。难道真忘了联想Superfish的教训?

目前已经将此事报告给Microsoft/MSRC,难道现在禁用Windows更新成为了时尚?

*参考来源:blogspot,编译:鸢尾,转载需注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-06-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Hacker101白帽黑客进阶:会话固定、点击劫持、文件包含分析

    本课程是HackerOne出品的Web安全免费在线课程(Hacker101),以“LEARN HOW TO HACK”为主旨,包含了相关的视频、资源和动手实验,...

    FB客服
  • 从Android短信漏洞到手机钓鱼木马

    本文所涉及的技术和代码仅供研究之用,严禁将之用于非法用途,如有违反,所引发的一切后果与本人无关! 认识刘尼玛   在一个阳光明媚的早晨,小职员刘尼玛像往常一样...

    FB客服
  • 2017年网络诈骗趋势研究报告

    摘要 2017年猎网平台共收到全国用户提交的有效网络诈骗举报24260例,举报总金额3.50亿余元,人均损失14413.4元。与2016年相比,网络诈骗的举报数...

    FB客服
  • 我常用的Android第三方组件

    剑行者
  • django 发送手机验证码

    玩蛇的胖纸
  • Spring学习-第一篇:关于读取配置文件

      最近在用Spring大法的框架,便利了我们,但是对于内部完全不知,虽然满足正常业务需求,但是一旦出现问题,解决效率太低,所以准备深入学习一下,准备个一系列,...

    haoming1100
  • Spring事务控制基于AOP 纯注解配置和XML配置

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    多凡
  • 扫码登录是如何实现的?

    网页版微信刚推出时,无数人被它的登录方式惊艳了一下,不需要输入用户名密码,打开手机微信扫一扫,便自动登录。从原理上讲,二维码只能是一段文本的编码,如何用它实现快...

    java思维导图
  • 好好编程-物流项目05【Dao层整合】

      spring和mybatis的整合我们有两个配置文件要添加,分别是spring的配置文件和mybatis的配置文件。但是这两个配置文件放在哪儿呢?因为log...

    用户4919348
  • ​Kotlin 中文论坛的使用技巧

    欢迎访问 Kotlin 中文论坛(https://discuss.kotliner.cn/) 讨论 Kotlin!为了能够有时间刷论坛,我卸载了知乎卸载了脉脉,...

    bennyhuo

扫码关注云+社区

领取腾讯云代金券