Virus vezoucí se na Windows Update

Ostatní | 12.05.07

Nejnovější hrozba pro Windows využívá update Windows služby BITS, čímž se hacker chytře vyhne firewallu. Služba sloužící pro stahování bezpečnostních záplat tak může posloužit i účelu zcela opačnému.





Zpráva společnosti Symantec varuje před novou hackerskou fintou spočívající v přenosu škodlivého kódu přes BITS (Služba inteligentního přenosu na pozadí, anglicky Background Intelligent Transfer Service), zajišťující přenos update a bezpečnostních záplat ve Windows XP, 2003 a Vista. BITS se stará o asynchronní přenos souborů tak, aby byla co nejméně zatížena přenosová kapacita a nezpomalila se práce s internetem či sítí. Umí také umí pokračovat ve stahování souborů, pokud dojde k přerušení spojení.


Služba pracuje s HTTP protokolem a je programovatelná přes COM API. Jenže ji lze stejně tak využít k činnosti méně užitečné než je přenos bezpečnostních záplat. Již nyní dokážou některé trojské koně vyvolat BITS z infikovaného počítače a skrze ní stáhnout další „spřátelené“ programy, například keylogger, který ukládá a odesílá vložená hesla a jiné soukromé údaje. Služba je pokládána za součást systému, označena jako bezpečná a nepodléhá kontrole firewallu, což je základní výhoda takového postupu. Lze to přirovnat k tomu, když zločinec projede přes hranice na diplomatický pas.

Naštěstí není třeba panikařit, samotný Windows update napadnut není, pokud máte zapnuté automatické aktualizace a čistý počítač, můžete je takto ponechat. I když já osobně je mám vypnuté a to včetně služby BITS - nemám rád, když se mi stahuje něco na pozadí a nevím co a také si tím šetřím přenosovou kapacitu.

Nová hrozba ukazuje dva postupující trendy. Zaprvé: autoři malware se snaží čím dál více využívat samotné služby operačního systému, ba přímo jeho obranné mechanizmy. Zadruhé: škodlivý software se stává modulární podobně jako normální programy - nejprve se do systému dostane jedna jeho část, ta si pak stahuje další a další, každou specializovanou na něco jiného.

Pokud ovšem máte podezření na zamořený počítač, tak naneštěstí proti popsanému útoku zatím není jiné obrany, než BITS vypnout a s tím zamezit i automatickým aktualizacím Windows. Službu totiž nelze konfigurovat, aby například poskytovala přenos jen z určitých serverů (tj. Windows update) či jen pro povolené programy.
Microsoft se k hrozbě nevyjádřil, jistě tak ale brzo učiní.

- - Alexandr Radecký














Komentáře