Windows-downloadservice misbruikt door malware

  • Bron (c) 2007, VirusAlert

De makers van malware misbruiken de background intelligent transfer service (bits) om kwaadaardige bestanden langs de firewall te brengen. Dit constateerde beveiligingsbedrijf Symantec na het bestuderen van enkele trojans die eind maart in Duitsland zijn opgedoken.
Bits wordt als downloadservice ondermeer gebruikt door Windows Update voor het ophalen van patches en door Windows Live Messenger voor het versturen van bestanden.

Dit component is standaard beschikbaar in Windows XP, Vista en Server 2003, en kan op de achtergrond bestanden binnenhalen via het http-protocol. Via een API kan bits actief worden geprogrammeerd. Hier maken de trojans dankbaar gebruik van om zo malware een Windows-computer binnen te smokkelen. Omdat het component een integraal onderdeel is van Windows, wordt het door beveiligingssoftware vertrouwd en malware glipt daardoor ongemerkt langs een firewall. Volgens Symantec is er op dit moment geen mogelijkheid om deze methode actief te bestrijden. Het bedrijf zegt dat bits eigenlijk alleen toegankelijk zou mogen zijn voor applicaties met een hoger privilege of dat bits alleen van vooraf goedgekeurde url’s zou mogen downloaden. Opvallend is dat de voorbeeldcode van deze ‘antifirewall-loader’ al in 2006 in een Russisch hackersforum opdook.