Actualización del paquete de idioma de Windows con un nombre absurdo

Navega tus respuestas
80

Esta mañana, noté que me ofrecieron una nueva actualización de Windows. Me parece muy sospechoso:

Aquí están los detalles de la actualización: 

gYxseNjwafVPfgsoHnzLblmmAxZUiOnGcchqEAEwjyxwjUIfpXfJQcdLapTmFaqHGCFsdvpLarmPJLOZYMEILGNIPwNOgEazuBVJcyVjBRL

Download size: 4,3 MB

You may need to restart your computer for this update to take effect.

Update type: Important

qQMphgyOoFUxFLfNprOUQpHS

More information:
https://hckSLpGtvi.PguhWDz.fuVOl.gov
https://jNt.JFnFA.Jigf.xnzMQAFnZ.edu

Help and Support:
https://IIKaR.ktBDARxd.plepVV.PGetGeG.lfIYQIHCN.mil

Obviamente, esto parece demasiado sospechoso de instalar, pero me gustaría saber más. ¿Todos han recibido esta actualización (Google solo tiene un par de visitas para esto)? ¿Podría ser esto un ataque? ¿Hay alguna forma de descargar los datos de actualización sin instalarlos?

Estoy abierto a cualquier idea.

Estoy ejecutando un Windows 7 Pro (64 bits).

Como @Buck señaló a continuación, la actualización ya no está disponible a través de Windows Update. No estoy seguro de cómo se resolverá esta pregunta.

    
pregunta executifs 30.09.2015 - 14:45
fuente

2 respuestas

66

La comunicación oficial de Microsoft en este momento:

  

"Publicamos incorrectamente una actualización de prueba y estamos en el proceso de eliminarlo". - un portavoz de Microsoft

No agregaré comentarios, pero actualizaré la respuesta a medida que haya más información disponible.

    
respondido por el Xander 30.09.2015 - 21:01
fuente
13

Sí, parece muy extraño incluir un dominio .mil para una actualización de un producto de software comercial. No puedo corresponder el problema, pero puede ejecutar la actualización específica en una máquina virtual, cerrar todas las conexiones entrantes y salientes en la máquina host (y cualquier posible máquina huésped en ejecución) y monitorear la actualización a través de tcpdump / wireshark .

Entonces, al menos, podrías verificar desde dónde se está distribuyendo la actualización. Luego, puede verificar las direcciones remotas involucradas en listas negras , así como también en ubicación .

Puede cambiar la ubicación de descarga predeterminada de la actualización: 

net stop wuauserv
mklink /j c:\windows\softwaredistribution d:\other\desired\location
net start wuauserv

y tratar de hacer ingeniería inversa.

    
respondido por el Sebi 30.09.2015 - 15:25
fuente

Lea otras preguntas en las etiquetas

¿Es posible "falso" estar conectado a un enrutador? ¿Qué es este tipo de ataque no hacking de baja intensidad en un servicio web?