www.MegaLab.it

Un bollettino della security enterprise Symantec riaccende la discussione su BITS (Background Intelligent Transfer Service), il sistema di gestione dei download integrato sui sistemi Windows a tecnologia NT pensato per facilitare il trasferimento di file e risorse. Un componente noto già da tempo, ma che ora ritorna ad interessare le cronache perché è in circolazione un malware progettato per sfruttarlo.

BITS è in grado di ottimizzare l'impiego della banda di rete inutilizzata, scambiando dati in modalità asincrona così da non inficiare in maniera sensibile le prestazioni della connessione. Il componente è ad esempio largamente usato per scaricare le patch di Windows Update, che vengono in questo modo recuperate dai server Microsoft in maniera trasparente all'utente.

Per far si che il "trucco" funzioni BITS è parte integrante del sistema operativo, e viene caricato alla bisogna dal famigerato svchost.exe, processo costantemente presente in memoria che ha tra le sue funzioni quella di fare da "contenitore" di servizi e processi aggiuntivi. Considerata la sua centralità, svchost.exe viene dato per attendibile da firewall e software di sicurezza, pena il possibile non funzionamento della macchina in rete.

Attraverso svchost.exe BITS fa il suo lavoro di download discreto in background. Purtroppo per gli utenti però, ora BITS viene usato anche dalla famiglia di trojan Win32/Jowspry, per scaricare ed eseguire sul sistema ulteriore malware pescato da alcuni domini on-line.

Sebbene molti mettano in evidenza la necessità che il computer sia infetto perché BITS passi dalla "parte oscura", cominciando a depositare sul PC malware al posto di patch di sicurezza, il problema rimane grave ed è strutturale: il componente fa parte della dotazione base di XP e Vista, e sarebbe necessaria un'opera di reingegnerizzazione dello stesso codice del sistema operativo per eliminare la potenziale falla.

Riscrittura che con ogni probabilità, vista la vitale importanza rivestita dal componente, non avverrà mai, scaricando come al solito sulle spalle dell'utente la responsabilità di un'eventuale compromissione. I consigli sono quindi sempre quelli: aggiornare con costanza i propri software di sicurezza, non eseguire allegati di mail sospette e soprattutto adoperare, ora come non mai, protezioni di tipo HIPS (Host Intrusion Prevention System), in grado di prevenire le infezioni prima ancora che le minacce specifiche siano state individuate e catalogate dalle società di sicurezza.