Peter Schirmer hat vor einigen Tagen sein Tool Get WSUS Content .NET auf die Version 2.9.1.0 aktualisiert (die Version 2.9 kam Anfang Dezember 2021 raus – siehe Get WSUS Content .NET Version 2.9 verfügbar – die Version 2.9.1 hatte ich im März 2022 im Artikel Get WSUS Content .NET Version 2.9.1 ist da beschrieben.). Das Tool dient zur Verwaltung von Updates unter Windows – was ja bei Windows 10 oder Windows 11 ganz hilfreich sein kann, da diese Versionen dem Nutzer keine Update-Kontrolle mehr erlauben.
Anzeige
Mit dem Tool können Anwender Microsoft Updates für Windows-Systeme und Software bequem von den Microsoft Servern herunterladen und mit einem komfortablen Installer diese Updates offline installieren. Mir liegt keine Change-Log der neuen Version 2.9.1.0 vor – Peter Schirmer hat am 7. Oktober 2022 auf Facebook aber folgendes verlauten lassen:
Eine neue Funktion hat das Licht der Welt erblickt. Mit dem kommenden Release können Updates auf einem WSUS-Server nach bestimmten Suchkriterien ermittelt und dann in Masse abgelehnt werden.
Ich nutze diese neue Funktion z. B. für Windows, da Updates für viele Versionen erscheinen, ich aber nur eine davon nutze.
So kann z. B. nach allen nicht genehmigten Updates gesucht werden, die ARM, x86 oder 1503 im Titel enthalten. Die Suche kann dann auf eine bestimme Produktfamilie eingeschränkt werden bzw. Ausnahmen definiert werden.
Am Ende erhält man eine Liste für die Ablehnung. Hier kann auch noch kurzfristig Einträge entfernen, sodass nur die wirklich gewollten abgelehnt werden.
Zudem hat Peter Schirmer mir per E-Mail mitgeteilt, dass im Programm folgende Änderungen eingeflossen sind:
- NEU: Kompatibilität mit Windows 11 Update 2022 / Windows Server 2022 Update 2022
- NEU: Massenablehnung von Updates nach bestimmten Suchkriterien (WSUS)
- NEU: Die Pfade beim Extrahieren vom WSUS-Server enthalten nun die gewählten Produkte / Produktgruppen / Computernamen (WSUS)
- NEU: Updateinformationen vom WSUS-Server wurden um weitere Informationen ergänzt
Das kostenfreie Tool kann hier als ZIP-Archiv GWC_2910.zip heruntergeladen werden.
Anzeige
Aktuell liefert mir das Entpacken der ZIP-Archivdatei einen Fehler – und Virutstotal flaggt mehrere Dateien im ZIP-Archiv als schädlich – ich kläre das mit Peter Schirmer.
Ergänzungen: Inzwischen hat Peter Schirmer einen neuen Upload auf OneDrive hochgeladen, den ich entpacken kann. Zum Thema kaputtes Archiv und Funde bei Virustotal schrieb mir Peter:
Hallo Günter,
ich habe mal nachgesehen und das Archiv mit mehreren Virenscannern der C't geprüft, nichts gefunden. Daraufhin habe ich die Gegenprobe gemacht: Das Archiv als .rar neu erstellt und direkt bei Virustotal hochgeladen. Ergebnis: 3 Scanner haben sich aufgrund der Heuristik gemeldet. Also falscher Alarm.
Was ist aber auch gesehen habe: Ich habe mein ursprüngliches Archiv bei OneDrive hochgeladen, welches heute Nacht aber geändert wurde. Da habe ich aber definitiv geschlafen und vermute, dass MS und irgendein Service da zickt.
Und in einer weiteren Mail:
Ich habe den gleichen Test [bei Virustotal] habe ich auch gemacht, es schlagen immer 3 Scanner an.
Es ist aber nichts bösartiges auf meinem Rechner. Ich denke, das wird dann die Obfuskation sein, die ich eingefügt habe – die ist aber schon seit Jahren enthalten.
Anzeige
Leider scheint in der ZIP Datei ein Trojaner zu stecken.
virustotal.com
Oder laut ApexOne: TROJ.Win32.TRX.XXPE50FFF061
Meldet unser Apex natuerlich auch, allerdings halten sich die Erkennungsraten auf Virustotal in Grenzen.
Auf die schnelle bekomme ich das ablehnen von WSUS-Updates leider nicht zum laufen.
Jetzt geht das Auspacken ohne Mucken.
Ich habe 2 Versionen?
eine hat 26,1MB die andere 17,7MB?
Mehrfach.
Eine " First Submission" 2022-03-02 18:17:31, die andere 2022-10-08 16:43:44 UTC
GWC_291.zip (26,1MB) lässt sich im File Explorer auspacken.
GWC_2910.zip (26,1MB) lässt sich im File Explorer nicht auspacken.
Gibt Error 0x80004005 unbekannter Fehler bei jeder Datei.
3 security vendors and no sandboxes flagged this file as malicious
927004a17e84e24fd629cf6b030036264cceb39eefa0728f66c8db72b66e2738
GWC_291.zip 26.05 MB Size
Malwarebytes Malware.AI.1614396036
Elastic Malicious (moderate Confidence)
MaxSecure Trojan.Malware.300983.susgen
First Seen In The Wild 2022-03-02 18:17:31 UTC
First Submission 2022-03-02 10:55:45 UTC
Earliest Contents Modification 2022-03-01 06:22:00
Latest Contents Modification 2022-03-01 06:23:00
"Get WSUS Content .NET 2.9.0.1.zip"
2 security vendors and no sandboxes flagged this file as malicious
GWC_2910.zip 17.85 MB Size
f996518971341231fee561a1c1c790e43b0c58959c78bd6b2de3a882c250336b
Malwarebytes Malware.Heuristic.1003
MaxSecure Trojan.Malware.300983.susgen
First Submission 2022-10-08 16:43:44 UTC
Last Submission 2022-10-13 13:53:14 UTC
Last Analysis 2022-10-13 13:08:03 UTC
"y4mUeTkHrHeCpLq9bpC91JGieP9SxezxbsHKeP_5EPaXEgmbtyTN"
Earliest Content Modification 2009-08-06 22:43:46
Latest Content Modification 2022-10-06 07:48:50
Emm, ja. Seltsam.
Peter ist aktuell dran – es scheint ein Fehlalarm zu sein – aber letzte Nacht wurde das auf OneDrive hochgeladene ZIP-Archiv wohl durch Microsoft geändert (Peter vermutet ein Service Problem bei OneDrive). Zur Zeit sollte man nichts downloaden, bis das alles geklärt ist.
Die GWC_2910 enthält Plain Text, etliche Nullen etc. ist also kein .zip!
Ich würde sie löschen. Wer weiß welcher Speicherbereich da hochgeladen worden ist. Es finden sich auch Variablen namen oder solche Texte.
Z.B.
"In einem Microsoft-Softwareprodukt wurde ein Sicherheitsproblem festgestellt, das Auswirkungen auf Ihr System haben könnte. Durch die Installation dieses Updates von Microsoft können Sie zum Schutz Ihres Systems beitragen."
emm. ja.
Mal sehen was Peter rausbekommt.
Ich verbleibe mit eine Zitat aus:
Last famous words:
"Geht in die Cloud, da sind Du und Deinen Daten sicher"
Ist da irgendwas beim Upload schief gegangen?
(Worauf ja der seltsame Name deutet)
BTW:
Das sollte werden:
GWC_291.zip (26,1MB) lässt sich im File Explorer auspacken.
GWC_2910.zip (17,9MB) lässt sich im File Explorer nicht auspacken.
Ich habe es korrigiert und ein neues Archiv hochgeladen. Ich denke, Günter wird den Artikel noch damit ergänzen.
Hier schon mal vorab der Link zu GWC_v2910.zip
https://1drv.ms/u/s!AhaRVE1uEzdVgQs2FA5i4zNYLApA?e=ZYca2X
Danke.
Das sieht aus als sei da irgendwo ein Filesystem kaputt gegangen. Es also cross links gegeben hat.
Wie gesagt sind da auch Variablen drin an denen man vielleicht erkennen kann wo das herkommt.
Sehr seltsam finde ich auch, das 2 Scanner bei dem kaputten Zip anschlagen. Sehen die etwas anderes als der Downloader? Werden wir wohl nie erfahren.
Kann man eigentlich false positives melden?
Eigentlich müsste ein seriösen Scanner Hersteller hohes Interesse haben keine False positives anzuzeigen. Andererseits wird sein Name ja so bekannt…
Danke für Deinen Aufwand.