Link alla notizia: http://www.hwupgrade.it/news/sicurezza/21148.html

Un malware capace di sfruttare le risorse di Windows Update è stato recentemente individuato

Click sul link per visualizzare la notizia.

Perchè si autodenunciano?

Perchè qualche scrittore di malware si è accorto di certi "canali privilegiati"
che possono bypassare i firewall software grazie all'architettura del
windowsupdate e si rischia di assistere ad un nuovo fenomeno
blaster/sasser...

Trovato sul pc di un cliente (o almeno, da quello che leggo, ha un comportamento del tutto simile). In pratica il malware prende possesso del processo BITS e inizia a fargli "mangiare" memoria e CPU. Il cliente di cui sopra aveva un Duron 1Ghz con 384 mega di ram, in pochi secondi il pc diventava inutilizzabile. Me ne sono accorto perchè disabilitando gli aggiornamenti automatici il problema non si presentava. ;)
Vabbè che se l'è anche cercata eh, av non aggiornato, nessun anti spyware / malware, nessun firewall.. :(

Esatto, spulciando nelle dll si sono accorti di questa, che però non è bypassabile dallo uac se è abilitato nel senso che ogni modifica alle librerie bits e wsus necessitano del permesso di admin. Tolto quello si ha libero accesso alle suddette librerie, quindi per ora gli unici che non saranno soggetti a tutto ciò sono gli utenti di Vista con uac abilitato. Tutti gli altri, xp e win2000 compresi saranno soggetti.

Esatto, spulciando nelle dll si sono accorti di questa, che però non è bypassabile dallo uac se è abilitato nel senso che ogni modifica alle librerie bits e wsus necessitano del permesso di admin. Tolto quello si ha libero accesso alle suddette librerie, quindi per ora gli unici che non saranno soggetti a tutto ciò sono gli utenti di Vista con uac abilitato. Tutti gli altri, xp e win2000 compresi saranno soggetti.

Quindi come volevasi dimostrare l'UAC sta svolgendo in modo adeguato il suo lavoro ed è da folli tenerlo disabilitato.

UAC e sempre stata una bella idea ma nn tutti i programmi sono stati scritti per operare sotto "User". Nn voglio scatenare falme o caltro ma dalla mia esperienza, questo malware usa un problema noto nel winupdate.
Chi ha in azienda WSUS, e distribuisce aggiornamenti vede la somiglianza di roblemi tra il malware e un bug in WSUS client.
nn sono sicuro x i PC di Casa
Il WSUS client quando cerca i prodotti da aagiornare si impalla e manda il svchost al 100% CPU. questo rende il PC inutilizzabile fino a che nn si fa un reboot o si blocca l'autoupdate.
Microsoft ha rilasciato una patch per il problema ma nn fa il suo dovere.
Per esempi WSUS 3.0 e il nuovo cliente nn sono affetti da questo problemi x il momento, maybe altri :)

@neonato

Nessun flame non preoccuparti, anzi il problema che alzi è serio. Nel senso mentre per il pc desktop senza un server a monte basterà lo uac abilitato per scoraggiare modifiche alle dll wsus e bits locali, per i pc in una rete locale con un server domain controller il problema resta almeno fino al rilascio di Windows Server 2008 che altro non è che Vista in versione server.
Consiglio di installare un serio applicativo di controllo come ad esempio System Management Server, SMS, che effettua un rigoroso controllo sia sul server che sui client di rete. A quel punto si può stare tranquilli anche con il server.

E se si disabilita direttamente il servizio BITS?

X Maerlin:

Il problema del tuo cliente non è dovuto al malware ma ad un malfunzionamento di windows XP, che affligge sempre più pc (ormai molti miei clienti me l'hanno segnalato). Praticamente l'abilitazione degli aggiornamenti automatici "consumano" sempre più memoria ram e arrivano sino a saturare il processore.
Applica la patch KB927891 e vedrai che tornerà tutto a posto.

Piccola provocazione: strano che un problema ormai così diffuso, non venga risolto con una delle patch mensili di Microsoft? sarà un incentivo per il passaggio a Vista?

E se si disabilita direttamente il servizio BITS?

Credo che nn funzioni più Windows Update...

X tocca80

la patch che tu consigli puo funzionare ma nn sempre. Ho pc qui in azienda e molti di loro nn sono afflitti da questo problema (senza patch), quelli con il problema sono stati patchati e nn hanno subito nessun miglioramento, ora l'update e disabilitto.

Prova la patch ma put to much hope on it.

X Mauriziofa,

SMS e costoso e da me sono tirchi al massimo. Nn vogliono capire che IT e importante quanto il reparto vendite.

Spero di avere SMS un giorno, maybe in my drems :D