Virus vezoucí se na Windows Update

12. 5. 2007

Sdílet

Nejnovější hrozba pro Windows využívá update Windows služby BITS, čímž se hacker chytře vyhne firewallu. Služba sloužící pro stahování bezpečnostních záplat tak může posloužit i účelu zcela opačnému.

ICTS24

Zpráva společnosti Symantec varuje před novou hackerskou fintou spočívající v přenosu škodlivého kódu přes BITS (Služba inteligentního přenosu na pozadí, anglicky Background Intelligent Transfer Service), zajišťující přenos update a bezpečnostních záplat ve Windows XP, 2003 a Vista. BITS se stará o asynchronní přenos souborů tak, aby byla co nejméně zatížena přenosová kapacita a nezpomalila se práce s internetem či sítí. Umí také umí pokračovat ve stahování souborů, pokud dojde k přerušení spojení.


Služba pracuje s HTTP protokolem a je programovatelná přes COM API. Jenže ji lze stejně tak využít k činnosti méně užitečné než je přenos bezpečnostních záplat. Již nyní dokážou některé trojské koně vyvolat BITS z infikovaného počítače a skrze ní stáhnout další „spřátelené“ programy, například keylogger, který ukládá a odesílá vložená hesla a jiné soukromé údaje. Služba je pokládána za součást systému, označena jako bezpečná a nepodléhá kontrole firewallu, což je základní výhoda takového postupu. Lze to přirovnat k tomu, když zločinec projede přes hranice na diplomatický pas.

Naštěstí není třeba panikařit, samotný Windows update napadnut není, pokud máte zapnuté automatické aktualizace a čistý počítač, můžete je takto ponechat. I když já osobně je mám vypnuté a to včetně služby BITS - nemám rád, když se mi stahuje něco na pozadí a nevím co a také si tím šetřím přenosovou kapacitu.

Nová hrozba ukazuje dva postupující trendy. Zaprvé: autoři malware se snaží čím dál více využívat samotné služby operačního systému, ba přímo jeho obranné mechanizmy. Zadruhé: škodlivý software se stává modulární podobně jako normální programy - nejprve se do systému dostane jedna jeho část, ta si pak stahuje další a další, každou specializovanou na něco jiného.

Pokud ovšem máte podezření na zamořený počítač, tak naneštěstí proti popsanému útoku zatím není jiné obrany, než BITS vypnout a s tím zamezit i automatickým aktualizacím Windows. Službu totiž nelze konfigurovat, aby například poskytovala přenos jen z určitých serverů (tj. Windows update) či jen pro povolené programy.
Microsoft se k hrozbě nevyjádřil, jistě tak ale brzo učiní.

- - Alexandr Radecký