Avviso di Symantec: un malware sfrutta Windows Update

Avviso di Symantec: un malware sfrutta Windows Update

Un malware capace di sfruttare le risorse di Windows Update è stato recentemente individuato

di pubblicata il , alle 10:24 nel canale Sicurezza
WindowsSymantecMicrosoft
 

Un nuovo malware potenzialmente pericoloso che sfrutta risorse normalmente utilizzate da Windows Updade. Symantec ha distribuito un apposito bollettino di alert che però, come segnala Arstechnica.com, ha sollevato alcune critiche.

Windows Update è un servizio offerto da Microsoft che si occupa di distribuire in modo automatizzare gli update costantemente rilasciati dalla casa di Redmond. Per non distogliere eccessive risorse di rete al pc in fase di aggiornamento Windows Updare utilizza un particolare componente definito "BITS" (Background Intelligent Transfer Service).

Lavorando in modo asincrono e in background BITS e Windows Update intendono ridurre il meno possibile l'usabilità del sistema, per lo meno questi sarebbero gli obiettivi di Microsoft.

Il malware in oggetto viene denominato Win32/Jowspry e si trasmette con le consuete modalità. Qualora l'utente esegua il codice malevolo il proprio sistema risulta compromesso e il Background Intelligent Transfer Service può essere potenzialmente usato in modo malevolo.

Microsoft tiene a precisare che non è il proprio Windows Update ad essere utilizzato come veicolo di infezione: il pc deve prima essere compromesso con l'esecuzione di Win32/Jowspry. Il sistema di distribuzione degli aggiornamenti è quindi sicuro, stando alle attuali informazioni, e il problema di sicurezza in oggetto deve essere affrontato con i consueti strumenti.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ulk14 Maggio 2007, 10:33 #1
Perchè si autodenunciano?
DevilsAdvocate14 Maggio 2007, 10:53 #2
Perchè qualche scrittore di malware si è accorto di certi "canali privilegiati"
che possono bypassare i firewall software grazie all'architettura del
windowsupdate e si rischia di assistere ad un nuovo fenomeno
blaster/sasser...
MaerliN14 Maggio 2007, 11:53 #3
Trovato sul pc di un cliente (o almeno, da quello che leggo, ha un comportamento del tutto simile). In pratica il malware prende possesso del processo BITS e inizia a fargli "mangiare" memoria e CPU. Il cliente di cui sopra aveva un Duron 1Ghz con 384 mega di ram, in pochi secondi il pc diventava inutilizzabile. Me ne sono accorto perchè disabilitando gli aggiornamenti automatici il problema non si presentava.
Vabbè che se l'è anche cercata eh, av non aggiornato, nessun anti spyware / malware, nessun firewall..
mauriziofa14 Maggio 2007, 11:55 #4
Esatto, spulciando nelle dll si sono accorti di questa, che però non è bypassabile dallo uac se è abilitato nel senso che ogni modifica alle librerie bits e wsus necessitano del permesso di admin. Tolto quello si ha libero accesso alle suddette librerie, quindi per ora gli unici che non saranno soggetti a tutto ciò sono gli utenti di Vista con uac abilitato. Tutti gli altri, xp e win2000 compresi saranno soggetti.

diabolik198114 Maggio 2007, 11:58 #5
Originariamente inviato da: mauriziofa
Esatto, spulciando nelle dll si sono accorti di questa, che però non è bypassabile dallo uac se è abilitato nel senso che ogni modifica alle librerie bits e wsus necessitano del permesso di admin. Tolto quello si ha libero accesso alle suddette librerie, quindi per ora gli unici che non saranno soggetti a tutto ciò sono gli utenti di Vista con uac abilitato. Tutti gli altri, xp e win2000 compresi saranno soggetti.


Quindi come volevasi dimostrare l'UAC sta svolgendo in modo adeguato il suo lavoro ed è da folli tenerlo disabilitato.
neonato14 Maggio 2007, 12:31 #6
UAC e sempre stata una bella idea ma nn tutti i programmi sono stati scritti per operare sotto "User". Nn voglio scatenare falme o caltro ma dalla mia esperienza, questo malware usa un problema noto nel winupdate.
Chi ha in azienda WSUS, e distribuisce aggiornamenti vede la somiglianza di roblemi tra il malware e un bug in WSUS client.
nn sono sicuro x i PC di Casa
Il WSUS client quando cerca i prodotti da aagiornare si impalla e manda il svchost al 100% CPU. questo rende il PC inutilizzabile fino a che nn si fa un reboot o si blocca l'autoupdate.
Microsoft ha rilasciato una patch per il problema ma nn fa il suo dovere.
Per esempi WSUS 3.0 e il nuovo cliente nn sono affetti da questo problemi x il momento, maybe altri
mauriziofa14 Maggio 2007, 14:11 #7
@neonato

Nessun flame non preoccuparti, anzi il problema che alzi è serio. Nel senso mentre per il pc desktop senza un server a monte basterà lo uac abilitato per scoraggiare modifiche alle dll wsus e bits locali, per i pc in una rete locale con un server domain controller il problema resta almeno fino al rilascio di Windows Server 2008 che altro non è che Vista in versione server.
Consiglio di installare un serio applicativo di controllo come ad esempio System Management Server, SMS, che effettua un rigoroso controllo sia sul server che sui client di rete. A quel punto si può stare tranquilli anche con il server.
Crisidelm14 Maggio 2007, 15:27 #8
E se si disabilita direttamente il servizio BITS?
tocca8014 Maggio 2007, 19:31 #9

Non è un malware

X Maerlin:

Il problema del tuo cliente non è dovuto al malware ma ad un malfunzionamento di windows XP, che affligge sempre più pc (ormai molti miei clienti me l'hanno segnalato). Praticamente l'abilitazione degli aggiornamenti automatici "consumano" sempre più memoria ram e arrivano sino a saturare il processore.
Applica la patch KB927891 e vedrai che tornerà tutto a posto.

Piccola provocazione: strano che un problema ormai così diffuso, non venga risolto con una delle patch mensili di Microsoft? sarà un incentivo per il passaggio a Vista?
WarDuck14 Maggio 2007, 19:53 #10
Originariamente inviato da: Crisidelm
E se si disabilita direttamente il servizio BITS?


Credo che nn funzioni più Windows Update...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^