Avviso di Symantec: un malware sfrutta Windows Update

Redazione di Hardware Upg · 14-05-2007, 09:24

Link alla notizia: http://www.hwupgrade.it/news/sicurezza/21148.html

Un malware capace di sfruttare le risorse di Windows Update è stato recentemente individuato

Click sul link per visualizzare la notizia.

ulk · 14-05-2007, 09:33

Perchè si autodenunciano?

DevilsAdvocate · 14-05-2007, 09:53

Perchè qualche scrittore di malware si è accorto di certi "canali privilegiati"
che possono bypassare i firewall software grazie all'architettura del
windowsupdate e si rischia di assistere ad un nuovo fenomeno
blaster/sasser...

MaerliN · 14-05-2007, 10:53

Trovato sul pc di un cliente (o almeno, da quello che leggo, ha un comportamento del tutto simile). In pratica il malware prende possesso del processo BITS e inizia a fargli "mangiare" memoria e CPU. Il cliente di cui sopra aveva un Duron 1Ghz con 384 mega di ram, in pochi secondi il pc diventava inutilizzabile. Me ne sono accorto perchè disabilitando gli aggiornamenti automatici il problema non si presentava.

Vabbè che se l'è anche cercata eh, av non aggiornato, nessun anti spyware / malware, nessun firewall..

mauriziofa · 14-05-2007, 10:55

Esatto, spulciando nelle dll si sono accorti di questa, che però non è bypassabile dallo uac se è abilitato nel senso che ogni modifica alle librerie bits e wsus necessitano del permesso di admin. Tolto quello si ha libero accesso alle suddette librerie, quindi per ora gli unici che non saranno soggetti a tutto ciò sono gli utenti di Vista con uac abilitato. Tutti gli altri, xp e win2000 compresi saranno soggetti.

diabolik1981 · 14-05-2007, 10:58

Quote:

Originariamente inviato da mauriziofa

Esatto, spulciando nelle dll si sono accorti di questa, che però non è bypassabile dallo uac se è abilitato nel senso che ogni modifica alle librerie bits e wsus necessitano del permesso di admin. Tolto quello si ha libero accesso alle suddette librerie, quindi per ora gli unici che non saranno soggetti a tutto ciò sono gli utenti di Vista con uac abilitato. Tutti gli altri, xp e win2000 compresi saranno soggetti.

Quindi come volevasi dimostrare l'UAC sta svolgendo in modo adeguato il suo lavoro ed è da folli tenerlo disabilitato.

neonato · 14-05-2007, 11:31

UAC e sempre stata una bella idea ma nn tutti i programmi sono stati scritti per operare sotto "User". Nn voglio scatenare falme o caltro ma dalla mia esperienza, questo malware usa un problema noto nel winupdate.
Chi ha in azienda WSUS, e distribuisce aggiornamenti vede la somiglianza di roblemi tra il malware e un bug in WSUS client.
nn sono sicuro x i PC di Casa
Il WSUS client quando cerca i prodotti da aagiornare si impalla e manda il svchost al 100% CPU. questo rende il PC inutilizzabile fino a che nn si fa un reboot o si blocca l'autoupdate.
Microsoft ha rilasciato una patch per il problema ma nn fa il suo dovere.
Per esempi WSUS 3.0 e il nuovo cliente nn sono affetti da questo problemi x il momento, maybe altri

mauriziofa · 14-05-2007, 13:11

@neonato

Nessun flame non preoccuparti, anzi il problema che alzi è serio. Nel senso mentre per il pc desktop senza un server a monte basterà lo uac abilitato per scoraggiare modifiche alle dll wsus e bits locali, per i pc in una rete locale con un server domain controller il problema resta almeno fino al rilascio di Windows Server 2008 che altro non è che Vista in versione server.
Consiglio di installare un serio applicativo di controllo come ad esempio System Management Server, SMS, che effettua un rigoroso controllo sia sul server che sui client di rete. A quel punto si può stare tranquilli anche con il server.

Crisidelm · 14-05-2007, 14:27

E se si disabilita direttamente il servizio BITS?

tocca80 · 14-05-2007, 18:31

X Maerlin:

Il problema del tuo cliente non è dovuto al malware ma ad un malfunzionamento di windows XP, che affligge sempre più pc (ormai molti miei clienti me l'hanno segnalato). Praticamente l'abilitazione degli aggiornamenti automatici "consumano" sempre più memoria ram e arrivano sino a saturare il processore.
Applica la patch KB927891 e vedrai che tornerà tutto a posto.

Piccola provocazione: strano che un problema ormai così diffuso, non venga risolto con una delle patch mensili di Microsoft? sarà un incentivo per il passaggio a Vista?

WarDuck · 14-05-2007, 18:53

Quote:

Originariamente inviato da Crisidelm

E se si disabilita direttamente il servizio BITS?

Credo che nn funzioni più Windows Update...

neonato · 15-05-2007, 10:20

X tocca80

la patch che tu consigli puo funzionare ma nn sempre. Ho pc qui in azienda e molti di loro nn sono afflitti da questo problema (senza patch), quelli con il problema sono stati patchati e nn hanno subito nessun miglioramento, ora l'update e disabilitto.

Prova la patch ma put to much hope on it.

X Mauriziofa,

SMS e costoso e da me sono tirchi al massimo. Nn vogliono capire che IT e importante quanto il reparto vendite.

Spero di avere SMS un giorno, maybe in my drems

14-05-2007, 10:53	#4
MaerliN Senior Member Iscritto dal: Feb 2004 Città: Pian Camuno Messaggi: 4678	Trovato sul pc di un cliente (o almeno, da quello che leggo, ha un comportamento del tutto simile). In pratica il malware prende possesso del processo BITS e inizia a fargli "mangiare" memoria e CPU. Il cliente di cui sopra aveva un Duron 1Ghz con 384 mega di ram, in pochi secondi il pc diventava inutilizzabile. Me ne sono accorto perchè disabilitando gli aggiornamenti automatici il problema non si presentava. Vabbè che se l'è anche cercata eh, av non aggiornato, nessun anti spyware / malware, nessun firewall.. __________________ ! I survived Sonisphere Switzerland !

14-05-2007, 18:31	#10
tocca80 Junior Member Iscritto dal: May 2007 Messaggi: 6	Non è un malware X Maerlin: Il problema del tuo cliente non è dovuto al malware ma ad un malfunzionamento di windows XP, che affligge sempre più pc (ormai molti miei clienti me l'hanno segnalato). Praticamente l'abilitazione degli aggiornamenti automatici "consumano" sempre più memoria ram e arrivano sino a saturare il processore. Applica la patch KB927891 e vedrai che tornerà tutto a posto. Piccola provocazione: strano che un problema ormai così diffuso, non venga risolto con una delle patch mensili di Microsoft? sarà un incentivo per il passaggio a Vista?

14-05-2007, 09:24	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75166	Link alla notizia: http://www.hwupgrade.it/news/sicurezza/21148.html Un malware capace di sfruttare le risorse di Windows Update è stato recentemente individuato Click sul link per visualizzare la notizia.

14-05-2007, 09:33	#2
ulk Senior Member Iscritto dal: Sep 2000 Città: WOLF 389 VULCANO ** Ho scelto di vivere per sempre............................ per ora ci sono riuscito. Messaggi: 8437	Perchè si autodenunciano?

14-05-2007, 09:53	#3
DevilsAdvocate Senior Member Iscritto dal: Jan 2003 Messaggi: 3684	Perchè qualche scrittore di malware si è accorto di certi "canali privilegiati" che possono bypassare i firewall software grazie all'architettura del windowsupdate e si rischia di assistere ad un nuovo fenomeno blaster/sasser...

14-05-2007, 10:55	#5
mauriziofa Senior Member Iscritto dal: Jul 2003 Messaggi: 2238	Esatto, spulciando nelle dll si sono accorti di questa, che però non è bypassabile dallo uac se è abilitato nel senso che ogni modifica alle librerie bits e wsus necessitano del permesso di admin. Tolto quello si ha libero accesso alle suddette librerie, quindi per ora gli unici che non saranno soggetti a tutto ciò sono gli utenti di Vista con uac abilitato. Tutti gli altri, xp e win2000 compresi saranno soggetti.

14-05-2007, 11:31	#7
neonato Senior Member Iscritto dal: May 2005 Città: Bracknell (UK) Messaggi: 415	UAC e sempre stata una bella idea ma nn tutti i programmi sono stati scritti per operare sotto "User". Nn voglio scatenare falme o caltro ma dalla mia esperienza, questo malware usa un problema noto nel winupdate. Chi ha in azienda WSUS, e distribuisce aggiornamenti vede la somiglianza di roblemi tra il malware e un bug in WSUS client. nn sono sicuro x i PC di Casa Il WSUS client quando cerca i prodotti da aagiornare si impalla e manda il svchost al 100% CPU. questo rende il PC inutilizzabile fino a che nn si fa un reboot o si blocca l'autoupdate. Microsoft ha rilasciato una patch per il problema ma nn fa il suo dovere. Per esempi WSUS 3.0 e il nuovo cliente nn sono affetti da questo problemi x il momento, maybe altri

14-05-2007, 13:11	#8
mauriziofa Senior Member Iscritto dal: Jul 2003 Messaggi: 2238	@neonato Nessun flame non preoccuparti, anzi il problema che alzi è serio. Nel senso mentre per il pc desktop senza un server a monte basterà lo uac abilitato per scoraggiare modifiche alle dll wsus e bits locali, per i pc in una rete locale con un server domain controller il problema resta almeno fino al rilascio di Windows Server 2008 che altro non è che Vista in versione server. Consiglio di installare un serio applicativo di controllo come ad esempio System Management Server, SMS, che effettua un rigoroso controllo sia sul server che sui client di rete. A quel punto si può stare tranquilli anche con il server.

14-05-2007, 14:27	#9
Crisidelm Senior Member Iscritto dal: Jun 2001 Messaggi: 881	E se si disabilita direttamente il servizio BITS?

15-05-2007, 10:20	#12
neonato Senior Member Iscritto dal: May 2005 Città: Bracknell (UK) Messaggi: 415	X tocca80 la patch che tu consigli puo funzionare ma nn sempre. Ho pc qui in azienda e molti di loro nn sono afflitti da questo problema (senza patch), quelli con il problema sono stati patchati e nn hanno subito nessun miglioramento, ora l'update e disabilitto. Prova la patch ma put to much hope on it. X Mauriziofa, SMS e costoso e da me sono tirchi al massimo. Nn vogliono capire che IT e importante quanto il reparto vendite. Spero di avere SMS un giorno, maybe in my drems

Strumenti
Mostra una versione stampabile Invia questa pagina per email