IT безопастность,  Windows

MS & NSA

windows10-evil-nsa

Получилась мальца история под сон грядущий… И так поехали…

Как обычно вечер — ночь, это время для работы. Зачем занесло меня в корень диска С, я уже не помню. Но какое было мое удивление увидеть там папку $WINDOWS.~BT. Мысли были разные… Обновления у меня выключены, служба для обновлений тоже. В начале стал думать, что словил вирус, но мысль отпала сама собой.

ms-logger

Дальше начал изучать содержимое папки: C:\$WINDOWS.~BT\Sources\Panther

Кроме ini файлов и xml ничего подозрительного найти не удалось. Дальше начал смотреть. что у нас есть в ini файлах. Стал очень интересен файл setupact, вот его содержимое:

setupact.log

2015-12-09 23:41:58, Info SP CSetupPlatform::Initialize: Setup log starts: 2015-12-09 23:41:59, Info SP Host system information: VM: NO Firmware type: PCAT Manufacturer: LENOVO Model : 20081 BIOS name : InsydeH2O Version CCB.03.60.4241CN27WW(V2.03) BIOS version : 41CN27WW(V2.03) BIOS release date : 20120112000000.000000+000 Total memory : 8589934592 Number of physical CPUs : 1 Number of logical CPUs : 2 Processor manufacturer : AuthenticAMD Processor name : AMD E-450 APU with Radeon(tm) HD Graphics Processor caption : AMD64 Family 20 Model 2 Stepping 0 Processor architecture : x64 Processor clock : 1650 2015-12-09 23:41:59, Info SPVerifyFootprint: Starting verification of footprint section Footprint.Basic 2015-12-09 23:41:59, Info SPVerifyFootprint: Could not find footprint file C:\$Windows.~WS\Sources\reagent.admx 2015-12-09 23:41:59, Info SPVerifyFootprint: The requested footprint is not present 2015-12-09 23:41:59, Warning SPGetFootprintCapabilities: Footprint [Footprint.Basic] incomplete; the platform capability will not be available 2015-12-09 23:41:59, Info SPGenerateCopyListFromConfigFile: Didn’t find file list in C:\$Windows.~WS\Sources\setupplatform.cfg, section Footprint.Servicing.x86 2015-12-09 23:41:59, Info SPVerifyFootprint: Starting verification of footprint section Footprint.Servicing 2015-12-09 23:41:59, Info SPVerifyFootprint: Could not find footprint file C:\$Windows.~WS\Sources\compatprovider.dll 2015-12-09 23:41:59, Info SPVerifyFootprint: The requested footprint is not present 2015-12-09 23:41:59, Warning SPGetFootprintCapabilities: Footprint [Footprint.Servicing] incomplete; the platform capability will not be available 2015-12-09 23:41:59, Info SPGenerateCopyListFromConfigFile: Didn’t find file list in C:\$Windows.~WS\Sources\setupplatform.cfg, section Footprint.ICB.x86 2015-12-09 23:41:59, Info SPVerifyFootprint: Starting verification of footprint section Footprint.ICB 2015-12-09 23:41:59, Info SPVerifyFootprint: Could not find footprint file C:\$Windows.~WS\Sources\cmi2migxml.dll 2015-12-09 23:41:59, Info SPVerifyFootprint: The requested footprint is not present 2015-12-09 23:41:59, Warning SPGetFootprintCapabilities: Footprint [Footprint.ICB] incomplete; the platform capability will not be available 2015-12-09 23:41:59, Info SPGenerateCopyListFromConfigFile: Didn’t find file list in C:\$Windows.~WS\Sources\setupplatform.cfg, section Footprint.Migration.x86 2015-12-09 23:41:59, Info SPVerifyFootprint: Starting verification of footprint section Footprint.Migration 2015-12-09 23:41:59, Info SPVerifyFootprint: Could not find footprint file C:\$Windows.~WS\Sources\cmi2migxml.dll 2015-12-09 23:41:59, Info SPVerifyFootprint: The requested footprint is not present 2015-12-09 23:41:59, Warning SPGetFootprintCapabilities: Footprint [Footprint.Migration] incomplete; the platform capability will not be available 2015-12-09 23:41:59, Info Initializing diagnostics helper; data file = (NULL) 2015-12-09 23:41:59, Info No existing diagnostics data 2015-12-09 23:41:59, Warning SP DelayLoadHandler: Failed to load library sqmapi.dll; error code is 0x7f.뉶༁ 2015-12-09 23:41:59, Warning SP DelayLoadHandler: Failed to get procedure SqmReadSharedMachineId from library sqmapi.dll; error code is 0x7f. 2015-12-09 23:41:59, Warning CDiagnosticsHelper::Initialize: Failed to read existing machine ID; will generate one. hr = 0x80070032 2015-12-09 23:41:59, Warning SP DelayLoadHandler: Failed to get procedure SqmCreateNewId from library sqmapi.dll; error code is 0x7f. 2015-12-09 23:41:59, Warning CDiagnosticsHelper::Initialize: Failed to create install GUID. hr = 0x80070032 2015-12-09 23:41:59, Info CDiagnosticsHelper::Initialize: Installation GUID is {00000000-0000-0000-0000-000000000000} 2015-12-09 23:41:59, Info Key CollectTrace is not available. 2015-12-09 23:41:59, Warning SP CSetupPlatform::Initialize: Failed to initialize tracing 2015-12-09 23:41:59, Info There is already a running setup user mode etw session! 2015-12-09 23:41:59, Info VDS available 2015-12-09 23:41:59, Info Key CollectTrace is not available. 2015-12-09 23:41:59, Info SP Attempting to resurrect a new system from C:\$Windows.~BT\Sources 2015-12-09 23:41:59, Error SP CSetupPlatform::ResurrectNewSystem: Cannot resurrect new system.: Win32Exception: \\?\C:\$Windows.~BT\Sources\NewSystem.dat: Не удается найти указанный файл. [0x00000002] __thiscall UnBCL::FileStream::FileStream(const class UnBCL::String *,enum UnBCL::FileMode,enum UnBCL::FileAccess,enum UnBCL::FileShare,unsigned long)[gle=0x00000002] 2015-12-09 23:41:59, Info SP Releasing the setup platform 2015-12-09 23:41:59, Info SP StopTelemetry: 1 2015-12-09 23:41:59, Info SP UploadTelemetryData: 0 2015-12-09 23:41:59, Info SP CorrelationVector: wSR1E/GNpkikpXnn.1 2015-12-09 23:41:59, Info SP Try to merge diagnostics data from default new system data file 2015-12-09 23:41:59, Info SP Skip merge diagnostics data since C:\$WINDOWS.~BT\Sources\Diagnostics\diagnostics.dat is not exist 2015-12-09 23:41:59, Info SP Finish merge diagnostics data 2015-12-09 23:41:59, Info SP Start uploading diagnostics data for setup platform 2015-12-09 23:41:59, Info SP Not opted-in to SQM. Diagnostics data will NOT be uploaded 2015-12-09 23:41:59, Info Key CollectTrace is not available. 2015-12-09 23:42:01, Info SP Upload telemetry data based on environment variable 2015-12-09 23:42:01, Info Copy telemetry file: source folder: C:\$WINDOWS.~BT\Sources\Panther, destination folder: C:\ProgramData\Microsoft\Diagnosis\ETLLogs 2015-12-09 23:42:01, Info Diagtrack service is NOT available 2015-12-09 23:42:01, Info DiagTrackRunner.exe is not running. 2015-12-09 23:42:01, Info Launching C:\$Windows.~WS\Sources\DiagTrackRunner.exe /UploadEtlFilesOnly 2015-12-09 23:42:09, Info Exit code of C:\$Windows.~WS\Sources\DiagTrackRunner.exe /UploadEtlFilesOnly: 0 2015-12-09 23:42:09, Info Upload files successfully so we can remove all etl files. 2015-12-09 23:42:09, Info SP Closing Panther Logging

[свернуть]

А теперь напомню, папку я заметил только сегодня 14 декабря 2015, пролезла она ко мне 9 декабря в 23-40 согласно дате создания, обновления не ставлю!

Плюс так же обновились и добавились папки по пути: C:\ProgramData\Microsoft\Diagnosis

В итоге имеем попытку насильного обновления до windows 10.

Вопросы остаются открытыми:

  1. Зачем так палится и производить обновления, хоть и не windows, но средств телеметрии.
  2. Если уж и обновляться, то почему не убрать за собой папку.
  3. Смысл тогда в настройках обновления, если они M$ так легко обходятся.
  4. И есть ли толк в UAC?

Поделиться статьей:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Нажимая кнопку Отправить комментарий Я даю согласие на обработку персональных данных.