Перейти к содержанию
4rward

Трояны научились используют механизм закачки Windows Update

Recommended Posts

4rward

Хакеры используют систему закачки Windows Update для обхода файрволов, сообщает Symantec.

Background Intelligent Transfer Service (BITS) используется операционными системами Microsoft для закачки файлов в системе Windows Update. Система BITS, впервые появившаяся в Windows XP, так же прижилась и в Windows Server 2003 и в Windows Vista - асинхронная передача файлов с автоматическим подбором скорости передачи очень удобна для пользователей, так как не влияет на остальные сетевые соединения. Кроме того она же автоматически докачивает обновления в случае нарушения связи.

"Это очень удобный инструмент, а если вы учтете поддержку HTTP и программирование при помощи COM API, то практически идеальный компонент Windows для закачки всего, что вы захотите", - говорит исследователь Symantec. "К сожалению, и для закачки вредоносных файлов".

Компонент BITS очень удобен для создателей троянов и вирусов - например для загрузки дополнительного кода в уже зараженный компьютер: "По одной простой причине - BITS часть операционной системы, так что он легко обходит локальные файрволы для загрузки файлов". "Это новинка", - добавляет один из директоров антивирусной фирмы, "Атакующие используют компонент операционной системы для апдейта своих программ. BITS дает им простой и надежный механизм закачки. И им не нужно уже писать свой собственный".

Такая техника обхода файрвола была впервые замечена Symantec на одном из русских форумов в конце прошлого года, первые трояны с использованием BITS были зарегистрированы в массовой рассылке в Марте. В настоящее время надежного пути решения проблемы нет - не просто указать BITS что следует качать, а что нет, замечают исследователи. "Возможно следует ограничить доступ к BITS только высшим уровнем привилегий, или определить доверенные адреса с которыми он может работать".

P.S.Опять русские впереди ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Не назвал бы это новостью. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> ... была впервые замечена ... в конце прошлого года...

Была замечена летом прошлого года, так что действительно боян :-)

Кстати, интересно, кто как с этим борется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
> ... была впервые замечена ... в конце прошлого года...

Была замечена летом прошлого года, так что действительно боян :-)

Кстати, интересно, кто как с этим борется?

А как с этим борется ЛК? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
А как с этим борется ЛК?

А причем тут ЛК? Обновления MS уже выпустила, имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
А как с этим борется ЛК?

А причем тут ЛК? Обновления MS уже выпустила, имхо.

Какое обновление? У BITS есть совершенно официальный набор команд для совершенно законного создания задач на скачивание. Скачивание происходит от имени svchost. Таким образом получаем встроенный в ОС даунлоадер троянов с функцией обхода фаерволлов =) Как это можно фиксить? Отменить вообще возможность создания задач для BITS? Вряд ли Microsoft это сделает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Я лично сервис битс и автоматическое обновление отключаю. Включаю только когда MS что-либо выпустила, качаю, потом снова в отруб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

так обходиться всеравно элементарно - в hosts прописывается свой IP на который и резолвится windowsupdate.microsoft.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

так обходиться всеравно элементарно - в hosts прописывается свой IP на который и резолвится windowsupdate.microsoft.com

У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

вы неповерите, но у некоторых антивирусов есть другая компонента - реалтайм защита, которая и должна обеспечивать ловлю скачанных троянов.

и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличие очень простое. На вопрос "Ты правда хочешь добавить эту строчку?" юзер ответит "Да", а троян промолчит =) Ну... не любой троян правда =))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличие очень простое. На вопрос "Ты правда хочешь добавить эту строчку?" юзер ответит "Да", а троян промолчит =) Ну... не любой троян правда =))

осталось объяснить как нажать нужную кнопку скрипту.

P.S. и 99% юзеров начмут че-нить не читая, как это обычно и происходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
P.S. и 99% юзеров начмут че-нить не читая, как это обычно и происходит.

А 1% прочитает. Уже не бессмысленно. Особенно учитывая тот факт, что лично я себя отношу именно к этому 1%. Так что хорошая добавка к простым сигнатурам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

вы неповерите, но у некоторых антивирусов есть другая компонента - реалтайм защита, которая и должна обеспечивать ловлю скачанных троянов.

и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличать нужно на этапе правки.

Имхо, самый лучший метод - отслеживать, кто обращается к файлу и блокировать или разрешать доступ - в зависимости от того, кто к нему обращается.

Лучше всего, разрешать править только Админу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
Лучше всего, разрешать править только Админу.

расскажите это M$ которая дефолтной учеткой в ХП делает админа как раз.

А 1% прочитает. Уже не бессмысленно. Особенно учитывая тот факт, что лично я себя отношу именно к этому 1%. Так что хорошая добавка к простым сигнатурам.

вопрос тем не менее со скриптами и рулением удаленно через AD например остается открытым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

А вирус у вас под гостем хост править будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Лучше всего, разрешать править только Админу.

Так это и сама винда делает. Но файл, запущенный админом, получает права админа. Даже если этот файл - троян =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Лукин Вадим
      Попробуйте бесплатную версию антивируса Avast https://biblsoft.ru/windows/security/antivirus/144-avast-free-antivirus . Отлично защищает от вирусов, блокирует рекламу и другие угрозы, которые могут нанести вред вашему ПК. Одна программа вмещает в себе много защитных средств, как по мне, достаточно удобно.
    • SQx
      Приветствую,

      По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида: WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION возможно ли добавить в новых версиях?

      Предположительно эти записи находятся в следующем файле: C:\Windows\system32\wbem\repository\INDEX.BTR P.S. C этим встретился в одной из тем по лечению.
       
    • Зотов Тимур
      стандартный виндовс защитник не подходит? 
    • ГришаСмернов
      Для начало Вам стоит определиться каким бюджетом вы располагаете. Если Вы думаете, что купите стиральную машинку за 10 тыс., то Вы глубоко заблуждаетесь. Покупка эта не из дешевых. Да и жалеть денег на машинку не стоит, если хотите, чтобы она прослужила Вам долго. Перед тем как идти в магазин, почитайте эту статью https://tehno-rating.ru/591-kak-vybrat-stiralnuyu-mashinu-avtomat.html . Мне она замечательно помогла, когда я мучился со своей покупкой. В итоге руководствуясь дельными советами из этой статьи, купил себе хорошую машинку и даже куда дешевле, чем думал.
    • Лукин Вадим
      Возьмите саму новую модель. И смотрите, что бы объем был больше 
×