» »

Nič popravkov za okužen Windows

Nič popravkov za okužen Windows

Ars Technica - Ko je Microsoft februarja izdal varnostni popravek KB977165 za Windows XP, ki je izvedel nekaj popravkov v jedru, so po namestitvi mnogi uporabniki žalostno zrli v moder zaslon, ki je preprečil zagon Windows. Izkazalo se je, da so bili ti sistemi okuženi z rootkitom Alureon, s katerim se popravek ni najbolje razumel. Microsoft je tedaj poizkusil popravljati malomarnost uporabnikov in je izdal orodje, ki zazna rootkit in prepreči namestitev popravka, če ga najde. Aprila imajo v Redmondu podobne težave.

Tudi ta mesec je izšlo nekaj popravkov, ki imajo enake težave z rootkitom. Microsoft se je odločil, da ne bo reševal uporabnikov z zapacanimi sistemi, zato uporabniki z Alureonom ne bodo mogli namestiti zadnjih popravkov. Ker gre za kritično posodobitev, so se uporabniki znašli med tnalom in nakovalom, nič kaj boljše pa ni Microsoftu, ki mu je ugled neupravičeno načela že februarska težava.

Zagata, v kateri se je znašel Microsoft, je predvsem moralna. Nezaščiteni in nezakrpani računalniki na internetu so nadloga, ki razpošilja spam in počenja druge nečednosti, zato je v širšem interesu zagotoviti, da so ustrezni popravki naloženi. Četudi to pomeni, da z rootkiti okuženi računalniki nehajo delovati, bodo njihovi uporabniki vsaj dobili opozorilo, da je nekaj narobe. Vendar pa Microsoft ne sme samovoljno posegati v te sisteme in nesnage brisati z njih. Izdelali so orodje, ki počne prav to (Malicious Software Removal Tool), a kaj ko ni vključeno v privzeti paket na Windows Update, ki namešča zgolj pomembne, ne pa tudi priporočenih posodobitev. Pravi kavelj 22, torej.

50 komentarjev

«
1
2

patron ::

Super novica za serviserje! :D

BALAST ::

Prosim da pohitijo z prenosom DX10 knjižnic na WineX za linux. Kar bo glavni razlog za zamenjavo OS. :P

r0ker ::

torej MS spet ponuja in rešuje vse kar je možno ampak izpade kot bad guy zaradi uporabnikove napake/neumnosti

BigWhale ::

Pa saj njihova resitev v bistvu deluje. Racunalniki z rootkitom se avtomatsko odklopijo iz interneta. :>

Sicer pa, pricakovati, da bodo naredili patch, ki bo 'podpiral' en rootkit je mal bizarno. Hehe. Lahko bi naredili odstranjevalec tega rootkita.

win64 ::

Izdelali so orodje, ki počne prav to (Malicious Software Removal Tool), a kaj ko ni vključeno v privzeti paket na Windows Update, ki namešča zgolj pomembne, ne pa tudi priporočenih posodobitev.

MS je naredil orodje, vendar ga ne sme dati pod kritične posodobitve.

Lonsarg ::

Mi kdo razlozi kaksen zakon Microsoftu preprecuje, da na daljavo odstranjuje viruse?!? ce lahko Apple iz iPhonov odstrani poljubno nevirusno aplikacijo, zakaj potem Microsoft ne bi smel vsiliti pod kriticne odstranjevalca.

Mavrik ::

Sicer pa, pricakovati, da bodo naredili patch, ki bo 'podpiral' en rootkit je mal bizarno. Hehe. Lahko bi naredili odstranjevalec tega rootkita.


Saj ti v novici piše da ga so :)
The truth is rarely pure and never simple.

MrStein ::

Kaj ni Malicious Software Removal Tool med kritičnimi popravki?
Meni se vedno instalira, pa imam le kritične update nastavljene. V bistvu avtomatsko imam , pa je MSWRT vedno v spisku.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

bluefish ::

WMSRT je označen kot Important, ki je za stopnjo nižje od Critical.

Poldi112 ::

>Microsoft je tedaj poizkusil popravljati malomarnost uporabnikov in je izdal orodje, ki zazna rootkit in prepreči namestitev popravka, če ga najde.

Zakaj je malomarnost uporabnikov, da ti popravek v določenih pogojih naredi blue screen?

>...nič kaj boljše pa ni Microsoftu, ki mu je ugled neupravičeno načela že februarska težava.

Zakaj neupravičeno in kakšen ugled?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

bluefish ::

Zakaj je malomarnost uporabnikov, da ti popravek v določenih pogojih naredi blue screen?
V tem, da imajo na računalniku prisotno nesnago.

Zero0ne ::

Lonsarg je izjavil:

Mi kdo razlozi kaksen zakon Microsoftu preprecuje, da na daljavo odstranjuje viruse?!? ce lahko Apple iz iPhonov odstrani poljubno nevirusno aplikacijo, zakaj potem Microsoft ne bi smel vsiliti pod kriticne odstranjevalca.


Microsoft ima (uradno priznan) monopol, zato veljajo drugačna pravila kot pri Applu.

Lonsarg ::

Kaj je ta rootkit tok popularen, da se kar mora novica iz tega narediti? :) Microsoft bi moral pač nič narediti, blue screen je najbolša rešiteve, da se te ljudi prisili, da naredijo lepo fresh format:)

Bor H ::

Poldi: ne boš verjel ampak izven STja in podobnih linux-geek krožkov ima MS dejansko nek ugled, če pa rootkit šari po datotekah, ki naj bi jih popravljal le sistem je pa jasno da pride do težav,

techfreak :) ::

Zakaj je malomarnost uporabnikov, da ti popravek v določenih pogojih naredi blue screen?

Glede na to, da MS ni namestil malware preko Windows Update, je malomarnost uporabnikov da nimajo pravilne antivirusne zaščite.

MrStein ::

Eh, če bi pa bil rootkit od Sony-ja?
Če gre za malware, katerega noben trenutni AV ne blokira?

Ah ja, pljuvati po drugih, to je tak fajn za rajo.
Na koncu pa so vsi v enem metru sline...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::

Torej ti praviš, da bi morali testirati kompatibilnost popravkov z vsemi znanimi in neznanimi rootkiti?

MrStein ::

Ne, pravim, da z žaljenjem soljudi nekdo pove največ ravno o sebi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

k4vz0024 ::

Ms bi lahko preden se takšen update namesti, opozoril uporabnika, da se ne more update zaradi rootkit naložiti in da naj se najprej odstrani škodljiva koda z njihovim orodjem. A je to problem?

techfreak :) ::

Kako naj MS ve za vse rootkite in njihovo nekompatibilnostjo?

k4vz0024 ::

S feedbackom jeznih uporabnikov.

bluefish ::

k4vz0024 je izjavil:

S feedbackom jeznih uporabnikov.
Ej. če so ljudje tako nepazljivi, potem nimajo kaj stresati jeze na MS. Kaj takega bi bilo na mestu, če bi popravek prišel v konflikt s kosom programske opreme.

k4vz0024 ::

Kako pa naj vemo, da imamo golazen gor?

bluefish ::

Čisto tvoj problem, ki se MS-ja ne tiče.

Poldi112 ::

Ja, to smo že ugotovili, da se zadovoljstvo uporabnikov MS-ja ne tiče :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

k4vz0024 ::

Ne bi rekel, zakaj pa sistem dovoli namestitev zlonamerne kode?

MrStein ::

In s severa sem nam približuje srednje velik, vroč val flejm-ov..
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

mtosev ::

me zanima kak sploh lahko fasas rootkit ce npr nimas igric/apps kateri bi vsebovale rootkit?
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

bluefish ::

k4vz0024 je izjavil:

Ne bi rekel, zakaj pa sistem dovoli namestitev zlonamerne kode?
Ker namestitev dovoli uporabnik. Že nekajkrat se je izkazalo (na tem forumu in drugod), da tudi opozorila AV programov nekateri osebki mirne volje ignorirajo. Kako naj torej sistem prepreči uporabnikovo akcijo?

GupeM ::

k4vz0024 je izjavil:

Ne bi rekel, zakaj pa sistem dovoli namestitev zlonamerne kode?

in

techfreak :) je izjavil:

Kako naj MS ve za vse rootkite in njihovo nekompatibilnostjo?


Po feedbaku jeznih uporabnikov: "Microsoft je tedaj poizkusil popravljati malomarnost uporabnikov in je izdal orodje, ki zazna rootkit in prepreči namestitev popravka, če ga najde."

Za vsak rootkit ki obstaja pa verjetno ne bojo pisal programov???

bluefish ::

Poleg tega pa je mnogim očitno pod častjo namestiti Malicious Software Removal Tool - očitno strah pred WGA.

MrStein ::

bluefish je izjavil:

k4vz0024 je izjavil:

Ne bi rekel, zakaj pa sistem dovoli namestitev zlonamerne kode?
Ker namestitev dovoli uporabnik. Že nekajkrat se je izkazalo (na tem forumu in drugod), da tudi opozorila AV programov nekateri osebki mirne volje ignorirajo. Kako naj torej sistem prepreči uporabnikovo akcijo?


Tako, da za vsako malenkost teži, dokler uporabnik ne začne refleksno na YES klikat, pa res ne.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

denial ::

WMSRT je označen kot Important, ki je za stopnjo nižje od Critical.

Though the company distributes its Malicious Software Removal Tool, which can remove a range of common exploits (including the Alureon rootkit), this tool is not installed automatically by Windows Update in its default configuration. To install it, Windows Update must be configured to install "Recommended" updates (it defaults to only installing "Important" ones)...

MSRT looks like high-priority to me...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • zavarovalo slike: gzibret ()

MrStein ::

Mogoče je High le za legalne instalacije >:D
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

denial ::

Mislim, WTF??? V Visti je MSRT "Important" in ne "High-priority". Kakšna zmeda... nič več ne štekam.



Sabotaža!!!! Zarota!!! MSFT je kriv!!!!!
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

bluefish ::

Enako pri 7.

MrStein ::

Novica je o XP, tak da to nima preveč veze.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

denial ::

MSRT je High-priority tudi na XP. Hočeš screenshoot?

Opozorilo: naslednje vrstice niso namenjene rumenjakom!

From MS10-021 FAQ:

Does this update contain the same package installation logic that was included in the security update for MS10-015?
Yes. This security update includes package detection logic that prevents the installation of the security update if certain abnormal conditions exist on 32-bit systems. These abnormal conditions on a system could be the result of an infection with a computer virus that modifies some operating system files, which renders the infected computer incompatible with the kernel update. For more information about this issue, see the Microsoft Security page, Get help with Microsoft Security Bulletin MS10-015 incompatibility message.

From MSFT Sec:

The following error message appears when Windows Update detects abnormal conditions in certain operating system configurations on your computer:

"Your computer might not be compatible with Microsoft Security Update MS10-015. Proceeding with installation of the update could prevent your system from starting successfully. For additional information please visit http://www.microsoft.com/security/updat...

From The Register:

Microsoft's April patch batch included 11 bulletins along with an update to the software giant's Malicious Software Removal Tool. The idea is that this tool will remove malware and clean up systems which can then be safely patched at the second time of asking.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

klavdijL ::

zero one: MS nima monopola, če je uradno priznan, pa pač ljudje ne poznajo definicije monopola (sicer nam itak vlada nesposobna banda ampak hej vsaj definicij se lahko držijo ;) ... sry tak pač je (morda ma res oligopol - ampak to ni isto)

Kako pa naj vemo, da imamo golazen gor? - hja kako pa več da maš virus gor, al pa trojanca ? ccc - pazit kaj delaš pa bo - ali pa mej redno posodobljen Malicious Software Removal Tool


ce lahko Apple iz iPhonov odstrani poljubno nevirusno aplikacijo, zakaj potem Microsoft ne bi smel vsiliti pod kriticne odstranjevalca. - zato ker si Apple lahko privošči marsikaj ... v eni novici beremo, da se v EU vezava OS ne sme vezat na strojno implementacijo (hm...), da se ne sme prostovoljno posegat v uporabnikov računalnik in brisat podatkov, ker to pomeni začetek nadzora uporabnikova privatnega početja (hm... čeprav tukaj gre za iPhone in ne račulanik... čeprav poseganje v mobitel je morda še bolj sporno) ... predvsem zato ker Apple ni MS in tako lahko dela malodane kar hoče, pa tudi če je ilegalno in ga bo folk še vedno zagovarjal

pa še on topic - če maš na kompu nesnago si si čisto sam kriv in ni delo od MS, da ti to ureja ... če ne znaš sam pokliči kolega (PCje zna rihtat vsak tretji sosedov mulc) ali servis

Zgodovina sprememb…

  • spremenilo: klavdijL ()

Lonsarg ::

klavdijL je izjavil:


pa še on topic - če maš na kompu nesnago si si čisto sam kriv in ni delo od MS, da ti to ureja ... če ne znaš sam pokliči kolega (PCje zna rihtat vsak tretji sosedov mulc) ali servis


Točno tako, tole novice vsak, ki saj malo pozna zadeve razume kot dobro reklamo za MIcrosoft. Celo za posamezne popularne viruse sam Microsoft izda popravke, čeprav bi komot se odločil, da se z tem ne bo ukvarjal in da naj antivirusni vse naredijo. Microsoft je pač resna firma in se tudi v malenkosti vtaknejo. Res ne razumem zakaj more potem naslov novice biti takšen, kot da govori, da je Microsoft kaj zajebal.

ender ::

k4vz0024 je izjavil:

Ne bi rekel, zakaj pa sistem dovoli namestitev zlonamerne kode?
Kako pa naj sistem vnaprej ve, kaj je zlonamerna koda?
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

OmegaBlue ::

ender je izjavil:

k4vz0024 je izjavil:

Ne bi rekel, zakaj pa sistem dovoli namestitev zlonamerne kode?
Kako pa naj sistem vnaprej ve, kaj je zlonamerna koda?


Evil bit ima nastavljen.
Never attribute to malice that which can be adequately explained by stupidity.

MrStein ::

ender je izjavil:

k4vz0024 je izjavil:

Ne bi rekel, zakaj pa sistem dovoli namestitev zlonamerne kode?
Kako pa naj sistem vnaprej ve, kaj je zlonamerna koda?

Kako pa naj en upokojenec ve?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

5er--> ::

Nevermind... zabloda.
Drugače pa bi lahko imel update hash nepopravljenih datotek in se namestil samo v primeru, da so na sistemu datoteke z istim hash-om.

Zgodovina sprememb…

  • spremenilo: 5er--> ()

ender ::

5er--> je izjavil:

Drugače pa bi lahko imel update hash nepopravljenih datotek in se namestil samo v primeru, da so na sistemu datoteke z istim hash-om.
To ti nič ne pomaga, ker ta virus povzroči BSOD zaradi tega, ker ob okužbi zapiše v svojo datoteko naslove funkcij, potem pa naloži gonilnik, ki te funkcije preusmeri nase. Iz svojih preusmeritev potem kliče naslove, ki si jih je zapomnil ob okužbi - popravek pa spremeni naslove funkcij, zato tisti, ki si jih je zapomnil virus niso več veljavni, in povzročijo BSOD.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Jst ::

>Poleg tega pa je mnogim očitno pod častjo namestiti Malicious Software Removal
>Tool - očitno strah pred WGA.

Malicious Software Removal Tool

Mi lahko prosim nekdo razloži, na kakšen način odstranjuje Malicious Software? Updejta se mi redno, vendar mi nikoli ne da nobenega feedbacka. Se tole samo zažene po inštalaciji popravkov? In če najde nekaj, kar ima v bazi, avtomatsko odstarni? Če Da, zakaj se imenuje "Tool?" Lahko bi User dobil vsaj kakšen feedback v stilu:
Malicious Software Removal Tool Status:
-System is clean;
-Tool detected xyz2 and took actions accordingly;
-Tool detected xyz2 but was unable to properly restore and clean your system. Please contact your system admin or other appropriate support.

Ali pa vsaj: Malicious Software Removal Tool run successfully. Show log?

support.microsoft.com/kb/890830

Performing a full scan
If the tool finds malicious software, you may be prompted to perform a full scan. We recommend that you perform this scan. A full scan performs a quick scan and then a full scan of the computer, regardless of whether malicious software is found during the quick scan. This scan can take several hours to complete because it will scan all fixed and removable drives. However, mapped network drives will not be scanned.


Je kdo že videl tole? Kako bi ročno pognal full scan, tudi če ne najde ob naslednjem zagonu ničesar?

Na support.microsoft.com/kb/891716 je napisano, kje je log in sicer %windir%\debug\Mrt.log.

Moj log zdela takole:

Microsoft Windows Malicious Software Removal Tool v3.6, April 2010
Started On Fri Apr 16 01:00:56 2010
WARNING: Security policy doesn't allow for all actions MSRT may require.->Scan ERROR: resource process://pid:4948 (code 0x00000005 (5))

Results Summary:
----------------
No infection found.
Microsoft Windows Malicious Software Removal Tool Finished On Fri Apr 16 01:04:03 2010


Return code: 0 (0x0)


Nula (0) pomeni "No infection found," ampak kaj pomeni zgornji error, pa ne piše. Kakšen Policy bi pa moral imeti?
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

denial ::

Kako bi ročno pognal full scan, tudi če ne najde ob naslednjem zagonu ničesar?

Start => Run... => mrt

More info
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Jst ::

denial: Tnx, na MSjevih staneh nisem našel tega.

PS: Kakšne kvalitete je pa MSjev AntiVirus?

Je kje kakšna analiza, koliko najde, koliko false pozitive/negative, memory consumption, cpu,...?

Zadnja, ki sem jo bral, je bila iz leta 2009, strani se ne spomnim, MSjevega pa ni bilo vmes.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Zgodovina sprememb…

  • spremenil: Jst ()

fosil ::

Tukaj imaš teste AV comparatives
Tako je!
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

WannaCry okuževal večinoma Windows 7 (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5625011 (20408) SeMiNeSanja
»

Odkrit nov trdovraten botnet TDL-4

Oddelek: Novice / Omrežja / internet
389173 (6130) Isotropic
»

Nič popravkov za okužen Windows (strani: 1 2 )

Oddelek: Novice / Varnost
5015201 (13042) Jst
»

Microsoftove posodobitve povzročajo modri zaslon v Win XP

Oddelek: Novice / Varnost
3311337 (9964) denial
»

Vdor v računalnik

Oddelek: Pomoč in nasveti
81524 (1079) StratOS

Več podobnih tem