近期,深信服接到不少客戶諮詢關於Win7藍屏大爆發的問題,大概內容指“Win7服役結束,微軟不再更新補丁,電腦集體藍屏,錯誤代碼為F4,藍屏與漏洞補丁有關聯等等,並呼籲用戶不要修復漏洞補丁”。
不過,從深信服收集上來的問題來看,並沒有出現企業大規模Win7藍屏的現象。我們通過追溯,發現比較早出現這一問題的,是個人及網吧環境,確實有部分個人用戶及網管向安全廠商求助了。
關於漏洞修復(打補丁)是否會引起Win7藍屏這一問題,我們進行了反覆驗證,並沒有發現打補丁和Win7藍屏有必然的關聯(也就是說,打補丁並不會一定導致Win7藍屏),我們也在第一時間諮詢了微軟官方人員,對方亦表示對此不甚瞭解。
由於補丁與Win7藍屏沒有必然聯繫,且企業環境極少發生,而在個人與網吧環境出現一定規模的藍屏現象,讓我們高度懷疑與Windows盜版系統有關係。最終,我們在Ghost系統中發現了一款優惠券插件CouponUpdate.exe,這款插件在更新升級的時候,會導致系統藍屏。
這裡建議廣大用戶使用微軟官方原版鏡像安裝系統,避免使用各種盜版系統或Ghost系統。下圖,是優惠券插件CouponUpdate.ex更新程序對應的安裝目錄。
上述文件,在第三方平臺上,被多數的安全廠商報惡意了。
我們提醒廣大企業級用戶,對於近期Win7大規模藍屏消息,不用過度恐慌,深信服提供了詳細解讀和解決方案。正常來講,企業用戶遇到這個問題的概率還是比較低的。如果您的內網主機存在這個問題,建議按照下面這個解決方案進行處置。
解決方案
手動清理:
如果你的系統盤出現瞭如下文件:
C:\ProgramFiles\Coupon\CouponUpdate.exe
C:\ProgramFiles(x86)\Coupon\CouponUpdate.exe
C:\Users\Administrator\AppData\Local\Coupon\CouponUpdate.exe
則將雙擊上述目錄中對應Uninst.exe程序進行卸載,即可解決該藍屏問題
*本文作者:深信服千里目安全實驗室,轉載自FreeBuf.COM