Что такое Windows Genuine Advantage
Введение
Каждый пользователь
ОС Windows XP, разумеется,
в курсе того, что для получения обновлений
необходимо пройти проверку подлинности
операционной системы. Но очень немногие
догадываются об истинном назначении
программы Windows Genuine
Advantage (WGA). Этой программе
и будет посвящена статья.
Часть 1.
Компоненты программы
WGA:
Локальные средства
проверки WGA, входящие
в состав Windows Media Player 11 и
Microsoft Security Essentials. Последние
используют тот же самый исполняемый
файл, что и первый компонент, поэтому
на них останавливаться не буду
Часть 2. WGA Validation
Первый компонент
программы WGA -
обязательное обновление KB892130.
Это управляющий элемент
Activex, реализованный
в файле LegitCheckControl.dll.
Устанавливается при
посещении сайта Microsoft
Update.
Первая версия была выпущена в конце
2004-го года. На тот момент установка WGA
не являлась обязательной, поскольку
программа имела статус бета-версии.
Однако уже летом 2005-го года все пользователи
сайта обновлений должны были в обязательном
порядке проходить проверку подлинности.
Официально удаление KB892130
не поддерживается, однако
на самом деле сделать это крайне просто.
Инструкция по
удалению WGA Validation:
1. Пуск
— Выполнить - cmd
2. В
командной строке введите следующие
команды, нажимая после каждой из них
клавишу Enter:
Regsvr32
%windir%/system32/LegitCheckControl.dll /u
Del
%windir%/system32/LegitCheckControl.dll
Первая команда
отменяет регистрацию исполняемого
файла WGA, вторая
— удаляет его. Однако в удалении KB982130 нет особого смысла, поскольку при следующем посещении Microsoft Update придется установить его повторно.
Часть 3. WGA
Notifications
Второй компонент
программы WGA –
обновление KB905474.
Распространяется как
через сайт Microsoft Update, так
и через службу автоматического обновления
Windows. Первая бета-версия WGA Notifications была выпущена в ноябре 2005-го. А уже в апреле 2006-го произошел ОГРОМНЫЙ скандал, поскольку Microsoft решила использовать средства обновления Windows в качестве испытательного полигона для KB905474. 24 апреля на официальном сайте корпорации был опубликован пресс-релиз, в котором сообщалось о запуске нового антипиратского инструмента. А уже на следующий день миллионы излишне доверчивых пользователей пользователей стали невольными бета-тестерами WGA Notrification. По непонятной причине сырая бета-версия антипиратского средства была распространена через службу автоматического обновления Windows под видом критического обновления. Причем если настройки автоматического обновления были выставлены по умолчанию, то установка WGA Notifications выполнялась в тихом режиме, без демонстрации лицензионного соглашения. Причем удалить ее штатными средствами Windows XP было невозможно. Разумеется, это привело к массовому бойкоту служб обновления Microsoft законопослушными пользователями продуктов корпорации, которые заплатили за лицензионныую копию Windows XP от $100 (Home) до $250 (Pro). Естественно, пользователи были не в восторге от такого бесцеремонного поступка MS. Позднее Microsoft опубликовала на своем сайте документ, в котором сделала попытку объяснить странное поведение WGA Notifications. Дело в том, что многие пользователи заметили, что программа уведомлений соединяется с сервером Microsoft при каждой загрузке Windows. Microsoft пояснила, что программа уведомлений проверяет наличие нового файла конфигурации, а при обнаружении такового скачивает его. Другими словами, так называемое "критическое обновление безопасности" на самом деле являетсяопасным бэкдором (программой удаленного администрирования). Из-за этого пользователи обратились в суд. В итоге Microsoft удалось выиграть процесс, но различные судебные заседания продолжались несколько лет. Рейтинг WGA Notifications был понижен с критического до важного. Если верить тому документу, о котором уже упоминалось, функция ежедневного обращения к серверу MS присутствовала только в бета-версии WGA Notifications. Однако на самом деле это не так. На различных форумах до сих пор встречаются жалобы пользователей, утверждающих, что KB905474 соединяется с сервером Microsoft при каждой загрузке Windows. Меня это совершенно не удивляет. Зато меня удивляет тот факт, что очень многие пользователи до сих пор верят, что WGA Notifications предназначена исключительно для борьбы с пиратством. На мой взгляд, корпорация Microsoft вообще не заслуживает никакого доверия. Ее интересуют только деньги, и ничего более.
Теперь настало время поговорить о самом WGA Notifications. Так называемое "важное обновление безопасности" состоит из трех исполняемых файлов:
LegitCheckControl.dll
– именно этот файл выполняет
проверку подлинности Windows. Это тот же самый модуль, который используется на сайте Microsoft Update. Правда, в состав KB905474 входит не самая последняя версия проверочного модуля.
WgaLogon.dll
– файл отображает
уведомление об отрицательном результате
проверки подлинности Windows
при входе пользователя
в систему.
WgaTray.exe
– файл отображает
уведомление об отрицательном результате
проверки подлинности Windows
после входа пользователя
в системе. Располагается в системном
трее. Именно он регулярно (при каждом запуске
Windows) соединяется
с сервером Microsoft, передавая
какую-то информацию.
Официально удаление
KB905474 не
поддерживается, но на самом деле сделать
это крайне просто.
Инструкция
по удалению WGA Notifications:
1. Пуск
- Выполнить - regedit - Enter
2. Найдите
и удалите следующие разделы реестра:
HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\WgaLogon
HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WgaNotify
3. Закройте редактор
реестра
4. Перезагрузите компьютер
5.
Удалите следующие
файлы:
%windir%/system32/WgaLogon.dll
%windir%/system32/WgaTray.exe
%windir%/system32/dllcache/WgaLogon.dll
%windir/system32/dllcache/WgaTray.exe
Примечание:
выполнение этого действия не является
обязательным, поскольку после чистки
реестра WGA Notifications не сможет
активироваться
Примечание:
после удаления KB905474 Microsoft Update предложит
установить его повторно. Откажитесь от
установки этого обновления навсегда.
Вот оригинальная
инструкция по удалению WGA
Notifications, опубликованная
в базе знаний Microsoft:
Следует иметь в
виду, что она составлена некорректно.
Начинать следует с удаления перечисленных
там записей реестра, а исполняемые файлы
удалять не обязательно.
К сожалению, выпустив WGA Notifications корпорация сыграла на руку авторам вредоносного ПО. Вскоре после выхода в свет KB905474 специалисты антивирусной компании Sophos обнаружили опасного червя, который пытался маскироваться под программу уведомлений. Подробнее о нем можно прочитать в статье Worm disguises itself as Windows Genuine Advantage
Позднее российские вирмейкеры также создали вирус, имитирующий поведение WGA Notifications. При загрузке Windows он выводил сообщение об обнаруженной пиратской копии и блокировал возможность входа в систему. Для разблокировки системы требовалось пеерчислить определенную сумму денег на один из кошельков платежной системы Яндекс.Деньги.
Часть 4: Процедура
проверки подлинности Windows
Теперь
перехожу к одному из самых интересных
моментов, каковым является процедура
проверки подлинности. Как уже говорилось
выше, средство проверки подлинности
представляет собой программный модуль.
Если обратиться к перечню
основных признаков подлинной Windows,
то
становится понятна
абсурдность самой процедуры. Вот эти
вещественные признаки :
Вышеперечисленные три признака
являются бесспорными доказательствами
подлинности Windows
для человека,
но
не для программы. Вышеупомянутые
программные модули неизвестно на каких
основаниях собирают целую кучу данных
об оборудовании, на которое установлена
Windows, а также о самой операционной
системе. Причем дело не ограничивается
сбором данных, эти данные передаются
на серверы Microsoft для последующего
хранения. Примерный перечень собираемых
данных приведен в
заявлении
о конфиденциальности программы Microsoft
Genuine Advantage. Вот он:
Изготовитель и модель
компьютера.
Версия операционной
системы и программного обеспечения.
Параметры выбора
страны и языка.
Уникальный номер,
присвоенный компьютеру этими средствами
(глобальный уникальный идентификатор
или GUID).
Ключ продукта
(хешированный) и номер продукта.
Название BIOS, номер
и дата выпуска версии.
Серийный номер тома
жесткого диска (хешированный).
Была ли успешной
установка (если выполнялась).
Результаты проверок,
включая коды ошибок и сведения о
найденных или отключенных эксплойтах
активации и других связанных с ними
вредоносных или несанкционированных
программах, включая:
идентификатор
эксплойта активации;
текущее состояние
эксплойта активации, например сведения
о его очищении или перемещении в
карантин;
идентификация
первоначального производителя
оборудования;
имя и хэш файла
эксплойта, а также хэш связанных
программных компонентов, которые могут
свидетельствовать о присутствии
эксплойта активации.
Названия и хэш
содержимого файла инструкций загрузки
(так называемого корневого файла) для
определения эксплойтов активации,
изменяющих этот файл.
Уже при
одном виде на этот набор всякому
нормальному человеку становится ясно,
что проверка «подлинности» Windows
(слово специально заключено
в кавычки) не имеет никакого отношения
к борьбе с пиратством.
Вот
цитата из
статьи, автор которой
долгое время потратил на изучение
проблемы WGA:
Когда
фирма Microsoft принимала решение о принятии
мер против свободного распространения
её продуктов, то она, на мой взгляд,
сделала довольно странные вещи. Первое,
что приходит в голову - это слова Михаила
Задорного "Ну тупые!". Если честно,
то я до сих пор не понял, что же это было,
реальная попытка ограничить распространение,
или просто психологическое давление
на потребителя. Достаточно странно и
подозрительно выглядят терминология
и методы применяемые для определения
свойств ключа. Подлинный ключ - как это
трактовать? А если - не подлинный, то -
какой? Поддельный? Свойства и качество
продукта Microsoft никоим образом не зависят,
от свойств ключа (подлинный / не подлинный).
Такая терминология применима для
сравнения, например, бриллианта и
подделки из стекла. Потому что существуют
критерии, позволяющие любому независимому
эксперту совершенно однозначно
определить, что есть что. В случае с
Microsoft всё совсем не так. Основным критерием
для оценки свойств ключа является факт
оплаты продукта. Заплатил деньги -
подлинный ключ, не заплатил - не подлинный.
Для проверки факта оплаты не используются
никакие финансовые/платёжные документы!
Вместо этого собирается информация
об оборудовании, на которое установлен
программный продут, что само по себе
уже подозрительно. Microsoft не является
собственником этого оборудования, кто
дал право Microsoft собирать информацию о
чужой собственности? Это информация
передается на серверы Microsoft, там храниться,
и на основании этой информации и
определяются свойства ключа. Другими
словами, определить свойства ключа
может только Microsoft, независимые эксперты
бессильны. Ситуация вплотную приблизилась
к тому, что Microsoft - это царь, а все владельцы
компьютеров - её рабы. Где же, спрашивается,
хвалёная американская демократия?
Молчит в тряпочку. Из всего вышесказанного
можно сделать вывод: ни терминология
Microsoft, ни методы Microsoft для определения
свойств ключа не могут быть признаны
действительными. Я себя не считаю ни
пиратом, ни хакером. У меня есть компьютер.
Я заплатил за него уйму денег, это моя
собственность. И служить мне моя
собственность будет именно так, как это
нужно мне, а не фирме Microsoft.
Я готов
подписаться под каждым словом этой
цитаты. M$, очевидно, считают конечных
пользователей полными идиотами. Однако
же это не так. Перехожу к самому важному
параграфу этой статьи.
Часть 5 : Меры предосторожности
Чисто теоретически ничего не мешает
любому пользователю полностью запретить
доступ к серверу Microsoft при помощи любого
стороннего фаервола. Многие, кстати,
так и делали. Однако это не лучший выход,
поскольку компьютер не будет получать
всех необходимых обновлений. Проще
запретить доступ только к определенным
адресам. Вот перечень адресов, на которые
пересылается вся информация:
mpa.one.microsoft.com
genuine.microsoft.com
sls.microsoft.com
validation.sls.microsoft.com
Инструкция по блокировке серверов Microsoft с помощью Comodo Firewall:
1. Откройте главное окно
Comodo, щелкнув по значку в системном трее
2. Перейдите на вкладку
Фаервол
3. Выберите пункт
Политики сетевой безопасности
4. Перейдите на вкладку
Заблокированные зоны
5. Нажмите кнопку
Добавить и выберите пункт
Новый заблокированный адрес
6. В меню
Тип выберите пункт
Имя хоста
7. В поле Имя хоста введите
mpa.one.microsoft.com
8. Нажмите кнопку
Применить
9. Аналогично добавьте в список заблокированных адресов
genuine.microsoft.com,
validation.sls.microsoft.com и
sls.microsoft.com
10. Пуск - Выполнить - введите
cmd
11. В командной строке введите следующие команды, нажимая после каждой из них клавишу Enter
ping mpa.one.microsoft.com
ping genuine.microsoft.com
ping sls.microsoft.com
ping validation.sls.microsoft.com
Если все настроено правильно запросы к вышеуказанным серверам должны остаться без ответа, командная строка должна выдать сообщение о потере четырех пакетов для каждого адреса.
12. Введите
exit для выхода из командной строки
Обращаю особое внимание, что блокировка серверов не препятствует самой процедуре проверки подлинности Windows, а лишь предотвращает передачу информации. Все средства проверки подлинности Microsoft являются автономными, я лично убедился в этом. Значит, доступ в Интернет необходим им исключительно для отправки результатов, каковая крайне нежелательна.
Часть 6: Статьи в англоязычных интернет-изданиях и официальном блоге WGA
Изложенные в
статье факты убедительно доказывают,
что истинная цель
WGA – вовсе
не борьба с пиратством, а осуществление
слежки за добропорядочными пользователями
Windows. Лично я опасаюсь средств проверки подлинности Windows гораздо больше, чем, например, знаменитого червя Conficker.
Автор этого зловреда не скрывает, что создал его с преступными
намерениями. А Microsoft под видом борьбы с пиратством устанавливает на
ПК пользователей spyware, в результате чего пользователи вынуждены отказываться от получения обновлений. Таким образом, корпорация играет на руку авторам различного вредоносного ПО. Я вряд ли ошибусь, если скажу, что именно непродуманная политика Microsoft в отношении WGA Notifications привела к эпидемии червя Conficker. По статистике F-secure, опубликованный в январе 2009-го, за короткий срок поразил около 9 миллионов ПК. Причем 6 миллионов из них
было заражено всего за 4 дня. Следовательно, на этих ПК не были
установлены соответствующие патчи. Я уверен, что немалая доля вины за
это лежит на MS. Если бы разработчики WGA Notifications с самого начала
настроили эту приблуду на принудительную демонстрацию EULA, то удалось
бы избежать как скандала, так и массового бойкота служб обновлений.