Punto informatico Network

20081022222255_1611985231_20081022222238_1475510705_XBUGS INCHWORM.png

BITS, e il malware entra senza nemmeno bussare

21/05/2007
- A cura di
Archivio - Si riaccende la discussione intorno al famigerato componente interno di Windows, potenzialmente in grado di far penetrare all'interno di un sistema compromesso ulteriore codice malevolo senza allarmare firewall e software di sicurezza.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

malware (1) , bits (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 211 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Un bollettino della security enterprise Symantec riaccende la discussione su BITS (Background Intelligent Transfer Service), il sistema di gestione dei download integrato sui sistemi Windows a tecnologia NT pensato per facilitare il trasferimento di file e risorse. Un componente noto già da tempo, ma che ora ritorna ad interessare le cronache perché è in circolazione un malware progettato per sfruttarlo.

BITS è in grado di ottimizzare l'impiego della banda di rete inutilizzata, scambiando dati in modalità asincrona così da non inficiare in maniera sensibile le prestazioni della connessione. Il componente è ad esempio largamente usato per scaricare le patch di Windows Update, che vengono in questo modo recuperate dai server Microsoft in maniera trasparente all'utente.

HEINS_HITOOLBOX_REPLACEMENTS CAUTION.pngPer far si che il "trucco" funzioni BITS è parte integrante del sistema operativo, e viene caricato alla bisogna dal famigerato svchost.exe, processo costantemente presente in memoria che ha tra le sue funzioni quella di fare da "contenitore" di servizi e processi aggiuntivi. Considerata la sua centralità, svchost.exe viene dato per attendibile da firewall e software di sicurezza, pena il possibile non funzionamento della macchina in rete.

Attraverso svchost.exe BITS fa il suo lavoro di download discreto in background. Purtroppo per gli utenti però, ora BITS viene usato anche dalla famiglia di trojan Win32/Jowspry, per scaricare ed eseguire sul sistema ulteriore malware pescato da alcuni domini on-line.

Sebbene molti mettano in evidenza la necessità che il computer sia infetto perché BITS passi dalla "parte oscura", cominciando a depositare sul PC malware al posto di patch di sicurezza, il problema rimane grave ed è strutturale: il componente fa parte della dotazione base di XP e Vista, e sarebbe necessaria un'opera di reingegnerizzazione dello stesso codice del sistema operativo per eliminare la potenziale falla.

Riscrittura che con ogni probabilità, vista la vitale importanza rivestita dal componente, non avverrà mai, scaricando come al solito sulle spalle dell'utente la responsabilità di un'eventuale compromissione. I consigli sono quindi sempre quelli: aggiornare con costanza i propri software di sicurezza, non eseguire allegati di mail sospette e soprattutto adoperare, ora come non mai, protezioni di tipo HIPS (Host Intrusion Prevention System), in grado di prevenire le infezioni prima ancora che le minacce specifiche siano state individuate e catalogate dalle società di sicurezza.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.27 sec.
    •  | Utenti conn.: 154
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 0.12