Перейти к содержанию
4rward

Трояны научились используют механизм закачки Windows Update

Recommended Posts

4rward

Хакеры используют систему закачки Windows Update для обхода файрволов, сообщает Symantec.

Background Intelligent Transfer Service (BITS) используется операционными системами Microsoft для закачки файлов в системе Windows Update. Система BITS, впервые появившаяся в Windows XP, так же прижилась и в Windows Server 2003 и в Windows Vista - асинхронная передача файлов с автоматическим подбором скорости передачи очень удобна для пользователей, так как не влияет на остальные сетевые соединения. Кроме того она же автоматически докачивает обновления в случае нарушения связи.

"Это очень удобный инструмент, а если вы учтете поддержку HTTP и программирование при помощи COM API, то практически идеальный компонент Windows для закачки всего, что вы захотите", - говорит исследователь Symantec. "К сожалению, и для закачки вредоносных файлов".

Компонент BITS очень удобен для создателей троянов и вирусов - например для загрузки дополнительного кода в уже зараженный компьютер: "По одной простой причине - BITS часть операционной системы, так что он легко обходит локальные файрволы для загрузки файлов". "Это новинка", - добавляет один из директоров антивирусной фирмы, "Атакующие используют компонент операционной системы для апдейта своих программ. BITS дает им простой и надежный механизм закачки. И им не нужно уже писать свой собственный".

Такая техника обхода файрвола была впервые замечена Symantec на одном из русских форумов в конце прошлого года, первые трояны с использованием BITS были зарегистрированы в массовой рассылке в Марте. В настоящее время надежного пути решения проблемы нет - не просто указать BITS что следует качать, а что нет, замечают исследователи. "Возможно следует ограничить доступ к BITS только высшим уровнем привилегий, или определить доверенные адреса с которыми он может работать".

P.S.Опять русские впереди ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Не назвал бы это новостью. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> ... была впервые замечена ... в конце прошлого года...

Была замечена летом прошлого года, так что действительно боян :-)

Кстати, интересно, кто как с этим борется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
> ... была впервые замечена ... в конце прошлого года...

Была замечена летом прошлого года, так что действительно боян :-)

Кстати, интересно, кто как с этим борется?

А как с этим борется ЛК? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
А как с этим борется ЛК?

А причем тут ЛК? Обновления MS уже выпустила, имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
А как с этим борется ЛК?

А причем тут ЛК? Обновления MS уже выпустила, имхо.

Какое обновление? У BITS есть совершенно официальный набор команд для совершенно законного создания задач на скачивание. Скачивание происходит от имени svchost. Таким образом получаем встроенный в ОС даунлоадер троянов с функцией обхода фаерволлов =) Как это можно фиксить? Отменить вообще возможность создания задач для BITS? Вряд ли Microsoft это сделает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Я лично сервис битс и автоматическое обновление отключаю. Включаю только когда MS что-либо выпустила, качаю, потом снова в отруб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

так обходиться всеравно элементарно - в hosts прописывается свой IP на который и резолвится windowsupdate.microsoft.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

так обходиться всеравно элементарно - в hosts прописывается свой IP на который и резолвится windowsupdate.microsoft.com

У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

вы неповерите, но у некоторых антивирусов есть другая компонента - реалтайм защита, которая и должна обеспечивать ловлю скачанных троянов.

и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличие очень простое. На вопрос "Ты правда хочешь добавить эту строчку?" юзер ответит "Да", а троян промолчит =) Ну... не любой троян правда =))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличие очень простое. На вопрос "Ты правда хочешь добавить эту строчку?" юзер ответит "Да", а троян промолчит =) Ну... не любой троян правда =))

осталось объяснить как нажать нужную кнопку скрипту.

P.S. и 99% юзеров начмут че-нить не читая, как это обычно и происходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
P.S. и 99% юзеров начмут че-нить не читая, как это обычно и происходит.

А 1% прочитает. Уже не бессмысленно. Особенно учитывая тот факт, что лично я себя отношу именно к этому 1%. Так что хорошая добавка к простым сигнатурам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

вы неповерите, но у некоторых антивирусов есть другая компонента - реалтайм защита, которая и должна обеспечивать ловлю скачанных троянов.

и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличать нужно на этапе правки.

Имхо, самый лучший метод - отслеживать, кто обращается к файлу и блокировать или разрешать доступ - в зависимости от того, кто к нему обращается.

Лучше всего, разрешать править только Админу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
Лучше всего, разрешать править только Админу.

расскажите это M$ которая дефолтной учеткой в ХП делает админа как раз.

А 1% прочитает. Уже не бессмысленно. Особенно учитывая тот факт, что лично я себя отношу именно к этому 1%. Так что хорошая добавка к простым сигнатурам.

вопрос тем не менее со скриптами и рулением удаленно через AD например остается открытым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

А вирус у вас под гостем хост править будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Лучше всего, разрешать править только Админу.

Так это и сама винда делает. Но файл, запущенный админом, получает права админа. Даже если этот файл - троян =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
    • Зотов Тимур
      Заинтересовало предложение.
    • Зотов Тимур
      Все спецально и делают деньги на них
×