Компьютерные хакеры используют один из компонентов передачи обновлений Windows Update, чтобы незаметно внедрить вредоносный код в систему в обход брандмауэра, как следует из сообщений компании Symantec.
Background Intelligent Transfer Service (BITS) задействуется операционными системами Microsoft для получения патчей посредством Windows Update. BITS, впервые появившийся в Windows XP, также включен в Windows Server 2003 и Windows Vista, представляет собой асинхронную службу передачи файлов с последующей автоматической синхронизацией, поэтому загрузка не оказывает влияние на остальную сетевую активность. В случае разрыва соединения оно восстанавливается без вмешательства со стороны пользователя.
"Это очень подходящий компонент и учитывая тот факт, что он поддерживает HTTP и может быть запрограммирован через COM API, делает его идеальным средством для загрузки в Windows чего угодно" - пишет в блоге Элиа Флорио (Elia Florio), исследователь из команды Symantec. "К сожалению, этим "чем угодно" может стать вредоносный файл".
Флорио обрисовала в общих чертах почему создатели троянских программ начали все чаще прибегать к BITS для загрузки стороннего кода в уже подверженный риску компьютер. "Это происходит по одной простой причине: BITS - часть операционной системы, а из этого вытекает полное доверие к нему брандмауэров при загрузке файлов".
Вредоносное ПО, в особенности троянские программы, которые обычно первым делом открывают лазейки в системе безопасности для последующего кода, должны вынудить файрволл сдать свои позиции, чтобы занести другую разновидность компьютерной заразы - keylogger. "Однако, наиболее распространены методы, заключающиеся во внедрении процесса, хоть они и могут вызвать подозрение у программ комплексной защиты ПК" - говорит Флорио.
"Это что-то новое" - делится мыслями Оливер Фридрихс (Oliver Friedrichs), директор Symantec Security Response Group. "Взломщики используют компонент операционной системы для обновления собственных модулей. Однако сама по себе идея обхождения защиты брандмауэра нам не в диковину".
Компания Symantec первой прослышала о BITS с хакерских информационных ресурсов в конце прошлого года, вспоминает Фридрихс, и с тех пор за ней велось пристальное наблюдение. Троян, наводнивший Всемирную Сеть в марте, был первым который реализовал данный метод на практике.
"Это большое преимущество BITS позволяет им обходить защиту брандмауэров" - продолжает он. "Это также гораздо более надежный механизм загрузки. Он уже присутствует в качестве компонента операционной системы и злоумышленникам нет никакой надобности писать свой код для загрузки".
И хотя BITS обеспечивает загрузку обновлений, предоставляемых службой Windows Update, Фридрихс убеждает пользователей в отсутствии опасности от самой службы. "Нет никаких оснований полагать что Windows Update может быть подвержена риску. Если бы в ней была уязвимость, то кто-нибудь уже непременно обнаружил бы ее.
"Однако, это четко показывает то, как сетевые взломщики задействуют в своих интересах компоненты ОС и то, как они становятся все более избирательными в плане написания вредоносного ПО. Они по-просту следуют сложившейся тенденции разработки традиционного программного обеспечения" - подводит итог Фридрихс.
Флорио обращает внимание на то что пока не существует способа оградить хакеров от использования BITS. "Непросто проверить что BITS должна загружать, а что нет - говорит он - а затем уже давать Microsoft рекомендации. Вполне возможно, что интерфейс BITS должен быть доступен исключительно с более высоким уровнем прав, или же загрузка посредством BITS должна быть ограничена доверенными адресами URL".
