9月14日凌晨消息，近日，国内外一些Windows发烧友发现，微软如今已经开始在不提示用户的情况下，悄悄地在Windows XP和Vista系统中添加或修改文件。甚至当用户关闭自动升级之后，这种“肮脏”的行为仍在继续。

　　变更文件而不通知用户

　　近日，Windows Update开始在不显示任何对话框请求许可的情况下，偷偷地对用户系统上的文件进行修改。目前已经发现的被偷改的文件在XP系统中有9个，在Vista系统中也有9个，它们都是Windows Update服务自身所使用的文件。微软如今悄悄地对这些文件进行修改，就算用户禁用自动升级服务之后亦如此。

　　很奇怪为何微软瞒着用户悄悄地修改这些文件？用户可以设置Windows控制面板中的自动升级对话框，从而禁止系统自动安装升级。然而，微软最近一次秘密修改活动中，完全不顾用户的设置信息，在没有提示用户的情况下，对Windows Update可执行文件进行了修改！

                            
                                                       启用和禁用Windows自动升级服务的操作界面

　　当用户启动Windows Update之后，微软的在线升级服务将检查电脑中升级程序可执行文件的版本，并在需要的情况下对他们进行升级。而不寻常的是，人们发现即使在Windows Update设置为“不安装更新”的情况下，这些文件仍然被修改了。

　　这已经不是微软第一次对那些希望手工测试并安装升级的用户进行强制更新了。不久之前，另一项Windows组件svchost.exe导致Windows Update出现了问题，而就在那种情况下，Windows Update站点还提示用户，在修补过程进行之前，必须安装升级软件。但这次，这种提示信息不再出现。

　　对于那些选择不需要自动安装升级的用户来说，得到他们的同意是至关重要的。然而，微软显然非常肯定：就算用户属性设置需要提示信息，但修补Windows Update文件不需要得到许可。

　　微软尚未提供任何技术信息

　　笔者试图在微软网站搜寻秘密升级的相关信息，但结果一无所获。

　　一些网站社区已经开始讨论关于升级文件的话题，因为他们系统中Windows Update程序wuauclt.exe版本号无缘无故地变为7.0.6000.381。在微软网站上发现的唯一解释来自于微软社区论坛ID为Dean-Dean的用户。对于这个问题，他这样解释道：

　　“ Windows Update软件7.0.6000.381是对Windows Update程序自身的一个升级。它是一个对Windows XP和Windows Vista平台升级程序的一个升级。除非用户安装该升级，否则Windows Update服务将无法运行，至少无法搜寻升级补丁。换句话说，在用户安装7.0.6000.381版升级之前，Windows Update服务是无法正常使用的。”

                            
                                     笔者系统的wuauclt.exe文件也被微软“和谐”为7.0.6000.381版本

　　曾有用户就此问题联系了微软技术支持中心。微软官方仅给出了一个简短的答复：

　　“7.0.6000.381是一个仅面向消费者升级，它解决了7.0.6000.374发布之后发现的一些特殊问题。它将不通过Windows服务器升级服务（WSUS）发布。我们不久将发布一个独立安装程序，并将第一时间通知您。”

　　系统日志证实秘密安装行为

　　在微软社区论坛的帖子中，Dean-Dean给出了在XP和Vista中被偷偷修改的文件名称。微软秘密进行的修补行动将WindowsSystem32目录下许多执行文件（后缀为.exe,.dll和cpl）升级至7.0.6000.381版本。

　　在Vista系统中，下列文件被升级了：

　　1、 wuapi.dll
　　2、 wuapp.exe
　　3、 wuauclt.exe
　　4、 wuaueng.dll
　　5、 wucltux.dll
　　6、 wudriver.dll
　　7、 wups.dll
　　8、 wups2.dll
　　9、 wuwebv.dll

　　在XP系统中，下列文件被升级了：

　　1、 cdm.dll
　　2、 wuapi.dll
　　3、 wuauclt.exe
　　4、 wuaucpl.cpl
　　5、 wuaueng.dll
　　6、 wucltui.dll
　　7、 wups.dll
　　8、 wups2.dll
　　9、 wuweb.dll

                                  
                                                            同样惨遭微软“和谐”的CDM.dll文件

　　这些文件绝非病毒，微软修补这些文件显然并无恶意。然而，在不实现通知用户的情况下向用户系统中写入文件显然与黑客行径无异。在讨论社区中，许多人提出了这样的疑问：“盖茨大叔此举意欲何为？”

　　如何检查系统是否被微软修改

　　如果一个系统未被修改，上述WindowsSystem32中9个文件的版本号应该是：7.0.6000.374。

　　此外，被微软偷偷升级过的系统中，在下列两个文件夹中将出现一个名为7.0.6000.381的子文件夹，这个文件夹中将出现一个名为wups.dll的新文件。

　　c:WindowsSystem32SoftwareDistributionSetupServiceStartupwups.dll
　　c:WindowsSystem32SoftwareDistributionSetupServiceStartupwups2.dll

                                                                      微软偷偷升级Windows Update程序时新增加的wups.dll文件

　　用户可以通过检查Windows系统的事件日志确认系统是否已被修改。

　　步骤一、在XP系统中，点击“开始”->“运行”。
　　步骤二、输入eventvwr.msc，敲回车。
　　步骤三、在左侧树状窗口点击“系统”项。
　　步骤四、将右侧窗口事件安装“来源”进行排序，查看来源为“Windows Update Agent”的事件。

　　在被微软偷偷修改过的系统中，比如笔者的系统，事件日志显示，在9月8日，“安装成功: Windows 成功安装了下列更新: 自动更新”。

                              
                                                             系统日志暴露微软偷改文件的丑陋行径

　　无需回滚至旧版升级文件

　　这里需要指出的一点就是，微软偷偷修改后的升级文件对系统并无威胁。目前尚未有任何证据表示应当删除这些文件。我们这里所关注的是微软偷偷修改用户文件这种行为，以及微软往后是否继续使用这种升级机制。

　　IT世界网新闻中心将继续就此事进行深入调查报道，希望大家继续关注IT世界网新闻中心。