Microsoft перевыпустила обновления телеметрии Windows 7 и 8.1

в 15:13, , рубрики: DoScheduledTelemetryRun, GWX, KB2952664, KB2976978, windows, windows 7, Windows 8.1, информационная безопасность, телеметрия, метки:

Microsoft перевыпустила обновления телеметрии Windows 7 и 8.1 - 1

Компания Microsoft повторно выпустила обновления KB2952664 для Windows 7 и KB2976978 для Windows 8.1 с одинаковой функциональностью. Пока что нет повода для волнений, потому что обновления помечены как необязательные к установке, но Microsoft может изменить их статус в будущем.

Впервые эти обновления вышли в августе 2015 года, а их функциональность изначально была засекречена. KB2952664 описывалось как «обновление совместимости для апгрейда Windows 7… [которое] помогает Microsoft производить улучшения в текущей операционной системе, чтобы упростить процедуру перехода на последнюю версию Windows». Больше никакой информации. Оба обновления были крайне слабо документированы.

Что делают обновления

Сразу же после установки обновления KB2952664, которое имело статус «важного», пользователи стали жаловаться, что в Планировщике задач Windows появился новый процесс DoScheduledTelemetryRun.

Microsoft перевыпустила обновления телеметрии Windows 7 и 8.1 - 2

В Планировщике задач этот процесс устанавливался на ежедневное выполнение как задача Microsoft Compatibility Appraiser.

%windir%system32rundll32.exe appraiser.dll,DoScheduledTelemetryRun

Процесс снабжён описанием «Сбор телеметрической информации, если есть регистрация в программе Microsoft Customer Experience Improvement». Несмотря на описание, задача запускалась у всех пользователей независимо от того, была у них регистрация в программе Microsoft Customer Experience Improvement или нет. Более того, если вы явно откажетесь от участия в этой программе, задача всё равно останется на выполнение.

Неизвестно, какие данные собирает Windows для отправки на удалённый сервер, но пользователи сообщали, что задача Appraiser очень сильно нагружает процессор.

В марте 2016 года специалисты по информационной безопасности заметили, что Microsoft использует KB2952664 для постоянного внедрения в систему назойливой программы GWX («Get Windows 10»). Как только KB2952664 попадает в систему, то сразу запрашивает с сервера для скачивания и установки обновление KB3035583 с программой GWX.

Постоянная мутация

Более внимательное изучение KB2952664 показало, что это обновление постоянно мутирует — оно часто изменяется и содержит иную нагрузку, чем в прошлый раз. Microsoft не документировала его поведение. Компания уже давно отказалась от объяснений, что обновления KB делают на самом деле.

В системных логах можно было отследить, как у этого обновления меняется номер версии.

Мутация KB2952664

Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.1 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.3 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.3.0 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.1 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.4 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.5.3 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.6.1 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.7.4 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.8.2 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.6 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.8 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.10.5 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.14.2 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.15.2
Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.1.3 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.2.1 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.2.3 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.3.0 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.4.1 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.4.4 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.5.3 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.6.1 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.7.4 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.8.2 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.9.6 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.9.8 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.10.5 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.14.2 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.15.2
Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.1 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.3 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.3.0 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.1 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.4 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.5.3 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.6.1 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.7.4 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.8.2 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.6 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.8 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.10.5 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.14.2 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.15.2

Windows Update считает каждую новую версию новым обновлением и новым объектом для инсталляции. Так что каждый раз, когда Microsoft изменяет номер версии KB2952664, все предыдущие попытки пользователя заблокировать обновление аннулируются.

Удаление из системы KB2952664 деинсталлирует только одну версию патча. Позже он будет переустановлен с альтернативной версией.

Зачем нужен перевыпуск?

Microsoft перевыпустила обновления телеметрии Windows 7 и 8.1 - 3

Функциональность новой версии KB2952664 специалисты пока не изучили. В описании Microsoft содержится такая формулировка: «Это обновление осуществляет диагностику на системах Windows, которые участвуют в программе Windows Customer Experience Improvement. Диагностика оценивает совместимость экосистемы Windows и помогает Microsoft убедиться в аппаратной и программной совместимости всех обновлений Windows. В этом обновлении нет функциональности GWX или для апгрейда системы».

Понятно, что кампания по продвижению Windows 10 закончена, так что нет смысла больше распространять GWX.

Учитывая неблаговидную историю KB2952664 и KB2976978, на эти подозрительные обновления стоит обратить особое внимание. Неоднократно случалось, что необязательные обновления Microsoft быстро переводила в статус рекомендуемых, что позволяло распространить их на большинство компьютеров с Windows. Во время прошлого перевыпуска KB2952664 это обновление изменило статус с необязательного на рекомендуемое в течение недели.

Можно следить за изменением страницы описания обновления, которое тоже постоянно изменяется. Сейчас для KB2952664 указана дата 9 февраля 2017 года и номер редакции 11 (хотя в октябре 2016 года был номер редакции 25).

Microsoft перевыпустила обновления телеметрии Windows 7 и 8.1 - 4

В статье с описанием обновления KB2976978 сейчас номер редакции 7.

Пока что всё это выглядит странно — непонятно, зачем инструмент диагностической программы Customer Experience Improvement выпущен отдельно, а не вместе со стандартным месячным пакетом обновлений во вторник. Странно и то, что номер редакции KB изменился с 25 на 11. Но известно точно, что предыдущие версии этих обновлений осуществляли сбор телеметрических данных и делали другие вещи независимо от желания пользователей — и это поведение не было документировано.

Автор: alizar

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js