这里是更新详细信息:
gYxseNjwafVPfgsoHnzLblmmAxZUiOnGcchqEAEwjyxwjUIfpXfJQcdLapTmFaqHGCFsdvpLarmPJLOZYMEILGNIPwNOgEazuBVJcyVjBRL
Download size: 4,3 MB
You may need to restart your computer for this update to take effect.
Update type: Important
qQMphgyOoFUxFLfNprOUQpHS
More information:
https://hckSLpGtvi.PguhWDz.fuVOl.gov
https://jNt.JFnFA.Jigf.xnzMQAFnZ.edu
Help and Support:
https://IIKaR.ktBDARxd.plepVV.PGetGeG.lfIYQIHCN.mil
显然,这似乎安装起来太麻烦了,但是我想了解更多。是否所有人都收到了此更新(Google仅对此产生了一些影响)?这可能是攻击吗?有没有下载而不安装更新数据的方法吗?
我可以接受任何想法。
我正在运行Windows 7 Pro(64位) 。
正如@Buck在下面指出的那样,该更新不再通过Windows Update提供。我不确定如何解决此问题。
#1 楼
微软此时的官方来信:“我们错误地发布了测试更新,并且正在删除它。” –微软发言人
我不会添加评论,但是会在有更多信息可用时更新答案。
评论
有关评论,请参见新闻报道:zdnet.com/article/…
–凯文·卡斯卡特(Kevin Cathcart)
2015年9月30日19:07
在ARS上还有与此相关的文章:arstechnica.com/security/2015/09/…
–执行
2015年9月30日19:11在
我也不会添加评论,因为否则它会被标记为对微软不利。哇。哇
–鹿猎人
2015年9月30日19:32在
我只会复制此补丁:“移至Windows 10或其他版本”。
–鹿猎人
2015年9月30日19:35在
@sebi:说实话,我怀疑Microsoft有一个内部库,该库具有可以生成“随机”字符串,URL,数字等的函数。这样的库对于某些模糊测试应用程序确实很有用,并且仅生成垃圾数据以进行填充测试时不需要的必要记录。由于URL可以通过任何验证正则表达式是有帮助的,因此从已知TLD列表(例如原始的少数TLD)列表中选择一个随机TLD是很有意义的。我怀疑这里使用了这样的库,并且所有URL都是这样生成的。
–凯文·卡斯卡特(Kevin Cathcart)
15年9月30日在21:25
#2 楼
是的,为商业软件产品的更新包含.mil域似乎很奇怪。我无法解决这个问题,但是您可以在虚拟机中运行特定的更新,关闭主机(以及任何可能运行的客户机)上的所有入站和出站连接,并通过tcpdump / wireshark监视更新。然后,至少,您可以检查更新的发布位置。之后,您可以对照黑名单及其位置检查所涉及的远程地址。
您可以更改此更新的默认下载位置:
net stop wuauserv
mklink /j c:\windows\softwaredistribution d:\other\desired\location
net start wuauserv
并尝试对其进行反向工程。
评论
奇怪的是包括.mil,.gov和.edu ...
– Iszi
2015年9月30日15:36在
是的,位置不对且引人注目。
– Sebi
2015年9月30日15:42
@Iszi我认为此处使用这些特定的TLD的原因是,除了政府或军事机构以及教育机构之外,其他所有人都无法注册。这样,如果说某个更新(在这种情况下意外发布),则没人可以注册这些域之一。
–奥斯汀·伯克(Austin Burk)
2015年10月1日在22:58
评论
信息链接看起来像随机生成的域,这是僵尸网络的一种已知行为,该僵尸网络称为域生成算法(DGA),用于隐藏真实的控制器。但是,域是NX(未注册),因此出现数据损坏,或者我看不到问题。每个人的更新中是否获得了相同的值,或者这些值是唯一的? (仅供参考,因为它受到保护,我无法发布答案)根据Google搜索,似乎至少有其他人收到了完全相同的更新(包括域)。
关于此问题的答案上也有一个话题。
“我们错误地发布了测试更新,并且正在删除它。” –微软发言人
寄存器刚刚发布了以下内容:theregister.co.uk/2015/09/30/windows_update_glitch