Gyurkity Péter

Vírusok használják a Windows Update letöltőjét

A Symantec arra figyelmeztet, hogy a vírusírók figyelme a Windows Update által is használt technológia felé fordult, amelyet saját kártevőik terjesztésére alkalmaznak. Maga a szolgáltatás nincs veszélyben.

A biztonsági cég kutatói az elmúlt hetekben, hónapokban végzett megfigyelések során arra a következtetésre jutottak, hogy számos vírusíró a Windows Update, vagyis az operációs rendszer frissítését végző platform letöltőszolgáltatását szemelte ki saját kódjaik terjesztéséhez. A Background Intelligent Transfer Service (BITS) technológia eredetileg a Windows XP részeként jelent meg, de a Windows Server 2003 és a Vista is támogatja, előnyei között pedig a háttérben történő, más alkalmazások hálózati forgalmát nem befolyásoló, kényelmes letöltéseket említik. Éppen erre van szüksége a vírusok alkotóinak is, akik emellett még egy fontos célt tűztek ki.

Ez pedig nem más, mint a tűzfalak és egyéb védelmi megoldások megkerülése, amit a BITS segítségével vélnek elérhetőnek. A szolgáltatás ugyanis az operációs rendszer része, és mint ilyen, a tűzfalak nem korlátozzák az általa folytatott kommunikációt. Tökéletes szállítóeszköz lehet tehát számos vírusnak, amelyek a már eleve megfertőzött rendszerekre szeretnének további káros kódrészleteket letölteni. "Ez egy nagyon jól megírt komponens, amely HTTP-támogatása és a COM API-n keresztül történő programozhatósága révén könnyen rávehető bármilyen tartalom letöltésére" - magyarázta Elia Florio, a Symantec kutatója.

A cég először még tavaly figyelt fel az ilyen irányú törekvésekre, mégpedig elsőként bizonyos orosz fórumokon, az első gyakorlati alkalmazás pedig idén márciusban bukkant fel egy trójai vírus részeként. Az elsődleges cél itt is a tűzfal megkerülése, amely a BITS révén biztosnak látszik. A jelenlegi védelem hatástalan a megoldás ellen, igaz ez legtöbbször csak akkor igazán káros, ha a rendszer már eleve fertőzött valamilyen vírussal, többnyire egy trójaival, amely a hátsó kapu megnyitásával lehetővé teszi a további manipulációkat.

A Microsoft egyelőre nem reagált a hírre, ám a Symantec azt sietett leszögezni, hogy maga a Windows Update nincs veszélyben. Érvelésük szerint amennyiben a szolgáltatás sebezhető lenne, már rég megjelentek volna az ilyen jellegű megoldások.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • gezumezu #17
    Valóban elnéztem . Csak végigfutottam a cikket.
  • elmebáj #16
    Az átlag fehasználók (tipp) 95%-a azt sem tudja, mi a jogosultság és nem állítja be a hozzáféréseket. Ha kiírja a "gép" hogy telepítse azt ami jött és oda van írva hogy Microsoft, nyom egy YES-t. A maradék 5% beszélgethet a korrekt megoldásokról...
  • BStage #15
    kiröhög
    A BITS természetesen impersonate-et használ a jobokhoz, tehát amihez a job-ot feladó usernek nem volt joga, ahhoz a BITS-en keresztül sem lesz...
  • turul16 #14
    Ha valami/valaki megkéri a progit, hogy tegyen valamit a notepad.exe helyére, amit a kérőnek nem lenne joga birizgálni, akkor mi történik?
  • BStage #13
    hát igen.
    ráadásul ugye vagy van eredetileg admin joga a virusnak (mert a barom user adminként futtatta le valamivel) vagy nincs.
    Ha van, akkor nincs is miről beszélni, mert azt csinál amit akar.
    Ha nincs, akkor meg letölthet valamit a netről (amihez tényleg semmi szüksége a BITS-hez) amit aztán futtat. És milyen joga lesz a futtatott kódnak? Ugyanolyan mint neki. Tehát mire ment az egésszel? Semmire, mert önmaga pont ugyanazt meg tudta volna tenni, mint amit megtesz a letöltött program. Bravó.

    A symantec meg lassan tényleg csak igy tud a médiába kerülni. Kár, hogy sok láma meg be is kajálja...
  • Yv@n #12
    Továbbá, ha már egyszer a gépet megfertőzte valami szar, akkor annak kb egész midnegy, hogy BITS-en keesztül húzza le a saját extra komponenseit, vagy paraméterezve a default browseren át, lévén azt már amúgyis kiereszti a tűzfal policy...

    Az egész hírmorzsa lényege kb. annyi, hogy a symantec időnként hallatni akar magáról.
  • BStage #11
    te sem érted?
    nem az auto update-ről van szó, hanem a BITS-ről. Teljesen mindegy milyen jogokkal fut, mivel nincs ismert hiba benne, igy a virus nem tud több jogot szerezni, mint amennyivel amúgy is rendelkezik. Megkéri, hogy töltsön le x dolgot, letölti, lemezre menti, akár egy flashget. De mivel ehhez már meg kellett fertőződnie a gépnek valamivel, ez teljesen lényegtelen.
  • A1274815 #10
    System felhasználó írásí és olvasási jogait is lehet szabályozni.

    Amúgy meg a szolgáltatás alapból a %SystemRoot%\SoftwareDistribution\Download könyvtárba ír.
  • Sanyix #9
    Minden joggal.
    Önmaga, és a rendszergazda, és M$.
    Akárhova.
  • turul16 #8
    auto update -t milyen jogokkal futó program ?
    Ki adhat neki megbízást ?
    Hova írhat ?