Проверка подлинности Windows. Угроза, откуда не ждал

Короче, вылезло то самое окно, которым Мелкомягкие уже несколько лет пугают пользователей краденной Винды. То, на котором написано, что Windows неправильная, она делает неправильные операции, и что это окно теперь будет вечным, чтобы всем было стыдно. Только вот Windows — не краденная, она кошерная, как маца со стола самого ребе Цадика! Ладно, пришлось разбираться, причем быстро.
Это окно рисует Windows Genuine Advantage Validation Tool - одно из обязательных обновлений Винды, обновление KB892130. Причем обновление регулярно обновляемое. Кроме проверки некраденности, оно собирает много другой интересной инфы. Производитель и модель компьютера, название, номер и дата выпуска версии BIOS, серийный номер винта, версии не только системы а и всего софта с функцией Genuine Advantage… много еще чего. И шлет это все на mpa.one.microsoft.com.

А если Windows сделала то, что не должна была делать, может это сделала не Винда? Может, зловред поразил Windows Genuine Advantage Validation Tool, который уже настрополен собирать инфу и подговорил на сбор чего-то более интересного, чем год выпуска мышиной подстилочки? И отправление всего этого не Мелкомягким?

Отключил сеть, запустил антивирь. Нифига!..

Первый способ перенаправить траф куда (не)надо, который мне пришло в голову проверить — посмотреть файл hosts. В нем находятся соответствия доменных имен айпишникам, для тех случаев, когда системе надо знать это соответсвие, не выходя наружу. Его данным система верит больше, чем полученным с DNS серверов. Файл этот сидит в system32\drivers\etc\. Бляха! Вот в нем и оказалось гордо написано ляля.траляля.ой.билеа mpa.one.microsoft.com. Настоящий айпишник mpa.one.microsoft.com  мне угадывать было некогда, поэтому я просто написал 127.0.0.1 mpa.one.microsoft.com и выполнил команду ipconfig /flushdns   (завернул траф обратно в комп), но тот айпишнег замеморил. Очень сомнительно, что Мелкомягкие опасаются, что Windows не найдет, куда отправлять инфу. Позже проверил, куда пытались направить траф. Типа, юго-восточная Азия...

От кражи данных вроде избавился, но это окно (читай: кривой кусок Винды и проблемы с органами) — нифига не комильфо. Диспетчер задач не показывает, чем конкретно это окно рисовано, а вот Process Monitor Марка Руссиновича сразу нашел края: LegitCheckControl.dll, WgaLogon.dll и WgaTray.exe — то есть, тот же Windows Genuine Advantage Validation Tool (получается, если зараза есть, то и к этим файлам, скорее всего, прилипла), который вообще-то приложение, но переустановить его пользователь не может, потому что не может выкинуть. Ладно, LegitCheckControl.dll — это служба, хоть ее в списке и нет. Команда regsvr32 -u LegitCheckControl.dll — вот она и слетела. А там и файло удалить можно, раз оно не используется.

Грохнуть — грохнул. Теперь надо опять установить и посмотреть, что будет. Как? Да просто полез за обновлениями к Мелкомягким. Windows Genuine Advantage, если его в системе нет, первым делом ставится. Поставилось. Перегрузился. Та же фигня. 

Ага, забыл. Если Винде сказать, что она неправильная, она это помнит, и ей уже не нужно дополнительное указание от Мелкомягких. Помнит она это файлом data.dat в Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data\. Опять грохнул LegitCheckControl.dll, а потом и data.dat. Обновился, перегрузился...

Все, нет окна. Глянул в hostshosts как hosts. Ушла проблема.

Так что же это было? Резидентный антивирь и не пикнул, сканер ничего не нашел. Глюк Винды? А нафига во Вьетнам, Лаос и Кампучию проситься было? Может, Мелкомягким теперь там сервак держать дешевле, а по мнению красных кхмеров любая Windows — преступление? Перехват управления был? Ну, допустим, допустим… Зачем окно вываливать, палево ведь?! Может, по недосмотру? Кто его теперь знает...

Вот думаю. Если Мелкомягкие так интересуются, что у людей в компах стоит, но при этом не всегда могут обеспечить получение этой инфы без пакостей — может, прекратить им эту инфу давать? Написать опять в hosts, что 127.0.0.1 mpa.one.microsoft.com, и фиг им? С другой стороны, Марк Руссинович на Мелкомягких работает, а он мне с этой, да и со многими другими бедами, офигенно помог...

Да, ничего по поводу проникновения в компы через уязвимости в Windows Genuine Advantage Validation Tool не нагулил. По этому запросу куча ссылок на обход проверки подлинности.
Обсудить у себя 1
Комментарии (19)
Ты не теряйся, я через недельку домой приеду, там буду с компом заниматься, буду советоваться, лады?
Угу… Только время уменя… Когда дофига, когда нифига Вчера и сегодня, например, в подшефной конторе тупости набирался. И завтра туда же. Кстати, я в пост про оформление Винды про стартовую Семерку дописал, и уточнил, что это ты на проблему указал и решение протестировал. Не против?
Нет, конечно, не один же я с такой проблемой! Кстати, я писал, что всё пашет, как родное? Тут у меня в комментах сомнение высказывалось.что это можно исправить!
Ну да. Я так примерно и написал, что Михаил Никитин указал на проблему и протестировал решение, на чем ему и спасибо .
У меня дома старый комп такой, что всё.что хочешь тестировать можно...
Старый комп — он к сбе соответствующего отношения требует. Блоьшинство пользователей портит мощность новых компов на переваривание глюков от неправильного к ним отношения. Сейчас в постсовке невозможно купить нулячий комп, у которого мощща соответствует пишущй машинке + интернетолазке. Такими задачами новый комп нагрузить невозможно. Для этого вполне подойдет старый, только из нормальных коплектующих.
Это надо поглядеть…
А насколько старый? Одноядерный четвертый Пень или Атлон из К7 серии — это нормальная машина, если железо не посыпалось.
Как раз Пень.Жёсткого диска 40 Гб
Ну вот. Если в таком Пне оперативы нормально, видюха неинтегрированная, а главное — железо исправное, он спокойно ХРю без блестяшек тянет, Офис 2003 и Оперу или Мозилу последнюю. И еще на ненавороченные игрухи останется. Да и кино смотреть тоже.
Игрухи только сидюшные, кино крутит, в инете бывает, виснет…
А вообще, есть у меня идея сделать в своем блоге спецтемку, в которой все смогут вопрос задать, а я решение поищу.
Хорошая идея! Ты и пишешь боле-мене понятно, даже для такого чайника, как я
Ну, я стараюсь понятно. А чайник — это ведб самое перспективное состояние. У чайника самое интересное впереди . Сократ или Платон (все время путаю) сказал: «Чем бОльшим спецом я становлюсь, тем лучше понимаю, какой я чайник.»
Мне тоже иногда интересно полазить в программах, но знаний катастрофически не хватает… В свой школьный период информатику на калькуляторе проходили, что с меня взять…
У нас в школе были восьмибитки Atari и рисование алгоритмов на бумажке. По информатике у меня было «3 пишем 2 в уме». Не мог я бейсик два года изучать.
У нас компов вообще небыло… Тоже что-то рисовали  1+0
Гы… Тьюринг свою машину из катротона и ватмана вырезал, разметил и склеил. Но я — не Тьюринг И даже не Айседора Дункан. Программируемый инженерный калькулятор Электроника Б3-34 мне батя подарил, я им и игрался. Про этот девайс даже рубрика была в «Технике Молодежи».
Чтобы комментировать надо зарегистрироваться или если вы уже регистрировались войти в свой аккаунт.

Войти через социальные сети: