Перейти к содержимому


Фото
- - - - -

Блокируется wufuc


  • Please log in to reply
31 ответов в этой теме

#1 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 247 Сообщений:

Отправлено 01 Сентябрь 2018 - 13:31

wufuc заставляет Windows Update думать, что в системе установлен старый процессор, и позволяет, таким образом, полноценно получать обновления для Win7/Win 8.1 на последних CPU. Для этого он патчит в памяти wuaueng.dll. DrWeb этому мешает, причем даже если полностью отключить все компоненты:

09/01/18 13:18:45 [rundll32.exe:992] [INFO] ServiceNotifyCallback(104): Supported version of wuaueng.dll: 7.9.9600.18970
09/01/18 13:18:45 [rundll32.exe:992] [INFO] ServiceNotifyCallback(141): Found IsDeviceServiceable function offset: wuaueng.dll+0x1c4e5c
09/01/18 13:18:45 [rundll32.exe:992] [ERROR] ServiceNotifyCallback(148): Failed to write value to target process: lpAddress=00007FFDD82601BC! (LastError=5)
09/01/18 13:18:45 [rundll32.exe:992] [ERROR] ServiceNotifyCallback(155): Failed to patch flag in target process at address 00007FFDD82601B8! (LastError=5)
09/01/18 13:18:46 [rundll32.exe:992] [INFO] ServiceNotifyCallback(104): Supported version of wuaueng.dll: 7.9.9600.18970
09/01/18 13:18:46 [rundll32.exe:992] [INFO] ServiceNotifyCallback(141): Found IsDeviceServiceable function offset: wuaueng.dll+0x1c4e5c
09/01/18 13:18:46 [rundll32.exe:992] [ERROR] ServiceNotifyCallback(148): Failed to write value to target process: lpAddress=00007FFDD82601BC! (LastError=5)
09/01/18 13:18:46 [rundll32.exe:992] [ERROR] ServiceNotifyCallback(155): Failed to patch flag in target process at address 00007FFDD82601B8! (LastError=5)
09/01/18 13:18:46 [rundll32.exe:992] [INFO] ServiceNotifyCallback(104): Supported version of wuaueng.dll: 7.9.9600.18970
09/01/18 13:18:46 [rundll32.exe:992] [INFO] ServiceNotifyCallback(141): Found IsDeviceServiceable function offset: wuaueng.dll+0x1c4e5c
09/01/18 13:18:46 [rundll32.exe:992] [ERROR] ServiceNotifyCallback(148): Failed to write value to target process: lpAddress=00007FFDD82601BC! (LastError=5)
09/01/18 13:18:46 [rundll32.exe:992] [ERROR] ServiceNotifyCallback(155): Failed to patch flag in target process at address 00007FFDD82601B8! (LastError=5)
09/01/18 13:18:47 [rundll32.exe:992] [INFO] ServiceNotifyCallback(104): Supported version of wuaueng.dll: 7.9.9600.18970
09/01/18 13:18:47 [rundll32.exe:992] [INFO] ServiceNotifyCallback(141): Found IsDeviceServiceable function offset: wuaueng.dll+0x1c4e5c
09/01/18 13:18:47 [rundll32.exe:992] [ERROR] ServiceNotifyCallback(148): Failed to write value to target process: lpAddress=00007FFDD82601BC! (LastError=5)
09/01/18 13:18:47 [rundll32.exe:992] [ERROR] ServiceNotifyCallback(155): Failed to patch flag in target process at address 00007FFDD82601B8! (LastError=5)

Что можно сделать?

 

 На вс. сл. поясню, что воспроизвести проблему можно на любой Win7/Win8.1, CPU не важен.

 


#2 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 264 Сообщений:

Отправлено 01 Сентябрь 2018 - 14:16

Если не ошибаюсь, Костя где-то писал про этот софт или подобный, что он некрасивые вещи делает. Подробностей не помню.



#3 SergSG

SergSG

    The Master

  • Posters
  • 12 001 Сообщений:

Отправлено 01 Сентябрь 2018 - 14:18

Может его можно в исключения поставить. Только нужно догадаться кому. Возможно в превентивке создать индивидуальное правило.



#4 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 247 Сообщений:

Отправлено 01 Сентябрь 2018 - 15:30

Некрасивые вещи в данном случае делает исключительно M$.

 

Так, все понятно: эта dll защищается самозащитой. Почему и что с этим делать?



#5 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 264 Сообщений:

Отправлено 01 Сентябрь 2018 - 16:31

Некрасивые вещи в данном случае делает исключительно M$.

Давайте не путать моральную сторону и техническую?



#6 SergSG

SergSG

    The Master

  • Posters
  • 12 001 Сообщений:

Отправлено 01 Сентябрь 2018 - 18:06

Так, все понятно: эта dll защищается самозащитой. Почему и что с этим делать?

Это точно?



#7 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 264 Сообщений:

Отправлено 01 Сентябрь 2018 - 18:51

SergSG, так проверяется легко. Отключается самозащита - и смотрим как работает.



#8 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 247 Сообщений:

Отправлено 01 Сентябрь 2018 - 19:06

Да все уже посмотрено. Точно.



#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 907 Сообщений:

Отправлено 06 Сентябрь 2018 - 18:33

Как продукт стоит? Месяц назад dr.web начал любить wufuc. Да и версия wufuc какая?

Сообщение было изменено Konstantin Yudin: 06 Сентябрь 2018 - 18:34

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#10 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 907 Сообщений:

Отправлено 06 Сентябрь 2018 - 18:36

Тут что то не то, мы ему не мешаем, мы его удалять должны как троян, а тут какие то ошибки доступа, это слишком либерально :)
Как всегда нужны логи если продукт акутальный
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#11 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 247 Сообщений:

Отправлено 07 Сентябрь 2018 - 03:55

Сейчас вроде не повторяется.



#12 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 907 Сообщений:

Отправлено 07 Сентябрь 2018 - 11:18

Если не ошибаюсь, Костя где-то писал про этот софт или подобный, что он некрасивые вещи делает. Подробностей не помню.

Дело не в красоте, дело в реализации, она наколеночная, у него была одна вообще убийственная версия, когда он научился инжектам собственно, а это чревато мертвыми ОС. Почитайте тикеты у него на проекте. Ладно дома у себя, но когда админы его ставят...
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#13 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 247 Сообщений:

Отправлено 10 Сентябрь 2018 - 22:08

Ладно дома у себя, но когда админы его ставят...

 

Будто выбор есть.

 

Когда написал, что вроде не повторяется, тестировал на виртуальной машине (ставил DrWeb там с нуля). На рабочей же (где он уже стоит) странные дела. Пока не отключаешь самозащиту, wufuc не работает, и ошибка прежняя (в превентивке всё разрешено). Как только отключаешь самозащиту, всё начинает работать - и даже после того, как самозащиту включаешь обратно, и после перезагрузки тоже. То есть, чтобы wufuc заработал, надо один раз запустить его при отключенной самозащите DrWeb.

 

Логи прилагаю. По логу wufuc видно, когда ему удалось в первый раз запуститься (смотреть с конца).

Прикрепленные файлы:

  • Прикрепленный файл  wufuc.1.log   25,56К   2 Скачано раз
  • Прикрепленный файл  Logs.7z   2,74Мб   1 Скачано раз


#14 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 907 Сообщений:

Отправлено 11 Сентябрь 2018 - 13:30

да, есть косячок. пофиксил. спасибо за фидбек
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#15 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 247 Сообщений:

Отправлено 11 Сентябрь 2018 - 13:38

Нет ли возможности реализовать исключения для dll? Сейчас для работоспособности wufuc требуется разрешить rundll32.exe модифицировать процессы. Это, конечно, не лучшее решение с т. зр. безопасности.



#16 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 907 Сообщений:

Отправлено 11 Сентябрь 2018 - 13:39

не нужно ничего разрешать и создавать правила. все должно работать из коробки. ждите апдейта аркапи и все будет ок
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#17 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 907 Сообщений:

Отправлено 13 Сентябрь 2018 - 21:11

Фикс вышел, спасибо за баг
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#18 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 907 Сообщений:

Отправлено 26 Сентябрь 2018 - 13:23

заработало?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#19 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 247 Сообщений:

Отправлено 26 Сентябрь 2018 - 13:55

В логе wufuc никаких ошибок (исключение для rundll32.exe убрал). Однако окошко "Unsupported hardware", говорят (машина не моя), иногда все же появляется. После этого проверял лично - обновления Windows ставились.



#20 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 907 Сообщений:

Отправлено 26 Сентябрь 2018 - 14:13

гуд. немного добра принесли людям.
With best regards, Konstantin Yudin
Doctor Web, Ltd.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых