image

Windows Update gebruikt voor verspreiden malware

donderdag 10 mei 2007, 17:21 door Redactie, 20 reacties

Windows Update wordt niet alleen gebruikt voor het installeren van patches en andere Microsoft updates, ook virusschrijvers gebruiken de technologie om hun malware creaties bij te werken. Eind maart werd er een Trojaans paard ontdekt dat het Windows onderdeel BITS (Background Intelligent Transfer Service) gebruikte om aanvullende malware bestanden te downloaden. BITS is de belangrijkste service waarmee Windows Update het besturingssysteem up to date houdt.

Het is een asynchrone download service die in de achtergrond draait, en patches, updates en andere bestanden downloadt zonder al teveel bandbreedte in beslag te nemen. Het ondersteunt HTTP en kan via de COM API geprogrammeerd worden, waarmee het de ideale tool is om Windows van alles te laten downloaden.

Voor virusschrijvers is BITS interessant omdat het een onderdeel van het besturingssysteem is, en daardoor niet gestopt wordt door de lokale firewall. Aanvallers hoeven geen verdachte acties uit te voeren, zoals het uitschakelen van de firewall of het injecteren van kwaadaardige code in Internet Explorer of Svchost processen. Op dit moment is er geen oplossing voor dit soort aanvallen. Het is namelijk niet eenvoudig om te controleren wat BITS mag downloaden en wat niet, zo waarschuwt Symantec.

Reacties (20)
10-05-2007, 18:47 door [Account Verwijderd]
[Verwijderd]
10-05-2007, 18:53 door Anoniem
Hmmm zou dat soms de reden zijn waarom ik zoveel problemen heb met
me svhost sinds een paar dagen. Ik ben benieuwd hoelang het duurt
voordat m$ een patch hiervoor maakt, als ze die al maken...
10-05-2007, 18:56 door Anoniem
Door Iceyoung
Slim gevonden

Ja de crackers slapen niet MR.Gates

En jouw oplossing was ...?
10-05-2007, 19:38 door Anoniem
Windows Update wordt niet alleen gebruikt voor het
installeren van patches en andere Microsoft updates, ook
virusschrijvers gebruiken de technologie om hun malware
creaties bij te werken.

Tja, dat krijg je als je geen goed permissie systeem hebt!
Hoe anders kan een virus zo'n belangrijke service gebruiken.
10-05-2007, 21:04 door Anoniem
Door Anoniem
Hmmm zou dat soms de reden zijn waarom ik zoveel problemen
heb met
me svhost sinds een paar dagen. Ik ben benieuwd hoelang het
duurt
voordat m$ een patch hiervoor maakt, als ze die al
maken...


hernoem in SAFE MODE de mappen
%systemroot%/Softwaredistribution en
%systemroot%/system32/Softwaredistribution herstraten, en
weg zijn je problemen met svhost.

Heeft te maken met een corrupte locale windows update store.


enjoy
10-05-2007, 21:07 door SirDice
Er valt zelfs weinig te cracken.. Het is een gewone API die beschikbaar is..
http://msdn2.microsoft.com/en-us/library/aa363160.aspx

Het enige "vreemde" aan dit verhaal is dat het nog niet eerder in malware is (ge|mis)bruikt.
10-05-2007, 21:19 door Anoniem
15 maanden geleden moest ik een pc opnieuw installeren voor
een kennis.
Direct na installatie Windows, de Windows updates gedownload.
Keurig netjes werden de updates gedownload.
Na het opstarten PC, meteen weer naar de Windows update
site geweest.
Wat stond er bij de update geschiedenis ? Alle updates
mislukt !

Huh? FF kijken of er misschien wat in de map C staat.
Ja dus, bom vol troep.

Virusscanner melde helemaal niets tijdens het downloaden van
de updates.

Format C, Windows opnieuw geinstalleerd, en meteen TCP View
erop gezet.
Opnieuw naar de site van Windows Update gegaan.
TCP Vieuw aangezet.
1 keer raden? Juist, de updates kwamen van niet van MS
ipnummers.

Pas toen ik een andere cd had opgehaald met Servicepack 2,
lukte het wel om de pc te installeren met orginele Windows
updates.
10-05-2007, 22:18 door Anoniem
Windows Update gebruikt voor verspreiden malware
Wederom een zeer suggestieve titel, want toen ik het zag in
mijn RSS reader dacht ik dat het ging over de updates die
deze week uitkwamen, maar het blijkt om de TECHNOLOGIE te
gaan. Lijkt er op een voorpagina van de Prive of Story zo
met die misleidende kop!
10-05-2007, 22:50 door Anoniem
nee, werd al lang misbruikt, is nu pas gelekt....
11-05-2007, 07:40 door [Account Verwijderd]
[Verwijderd]
11-05-2007, 07:41 door Anoniem
Door SirDice
Er valt zelfs weinig te cracken.. Het is een gewone API die
beschikbaar is..
http://msdn2.microsoft.com/en-us/library/aa363160.aspx

Het enige "vreemde" aan dit verhaal is dat het nog
niet eerder in malware is (ge|mis)bruikt.


Je bedoeld natuurlijk dat er nog niet eerder een malware
versie is gewvonden die hier actief misbruik van maakt, wat
niet wil zeggen dat deze er niet zijn nietwaar.
11-05-2007, 08:06 door Anoniem
Door Jos Visser
Maar kijk ook weer eens naar het design: "... omdat het een
onderdeel van het besturingssysteem is, en [daardoor] niet gestopt wordt
door de lokale firewall."

Wat een "harebrained" ontwerp weer...

Precies. En dan kan Symantect wel weer negatieve dingen roepen, maar
ook hun firewall houd het niet tegen. Ook zij verkopen dus een slecht
product, ondanks dat ze van dit zwakke schakel weten. Als je Windows niet
vertrouwd en daardoor dus beveiligingsproducten gaat kopen moet dat wel
werken. Nu vertrouwen we naast Windows ook de beveiligingsprodukten
van o.a. Symantec niet meer. Waar gaat het heen met deze wereld?
11-05-2007, 09:01 door Anoniem
De titel vind ik niet helemaal kloppen. Windows Updates wordt niet
misbruikt, maar BITS wordt misbruikt. Dat BITS wordt gebruikt om de
Windows updates op te halen, maakt de update service niet de schuldige.

BITS kan je ook gewoon gebruiken om je normale downloads binnen te
halen, zonder dat je de bandbreedte teveel belast. Het kan via de
command prompt of via het gratis proggie WINBITS.
11-05-2007, 09:20 door Anoniem
Heerlijk eenzijdige comments weer: M$, "windows is malware".

En dan nog te bedenken dat dit mensen zijn die er niet eens zoveel
verstand van hebben, en nog nooit Linux o.i.d. geinstalleerd hebben.
11-05-2007, 10:50 door SirDice
Door Anoniem
Door Jos Visser
Maar kijk ook weer eens naar het design: "... omdat het een onderdeel van het besturingssysteem is, en [daardoor] niet gestopt wordt door de lokale firewall."

Wat een "harebrained" ontwerp weer...

Precies. En dan kan Symantect wel weer negatieve dingen roepen, maar ook hun firewall houd het niet tegen. Ook zij verkopen dus een slecht product, ondanks dat ze van dit zwakke schakel weten.
Onzin. Gebruikers geven BITS toestemming om iets te downloaden anders werkt Windows Update niet. Heeft dus niets te maken met het wel of niet slecht zijn van die firewall. Het enige wat je hiervan kan zeggen is dat Personal
Firewalls in het algemeen niet werken en makkelijk te omzeilen zijn door je voor te doen als iets wat wel toegestaan is.
11-05-2007, 16:01 door Grudge
Ik ben altijd in de veronderstelling geweest dat MS update
niet automatisch hoeft te gebeuren waardoor je de te
installeren updates kunt controleren en dan zal men eerst
admin moeten zijn om dit te doen, ervan uitgaande dat de
machine zo is geconfigureert...

Geen admin rechten = geen automatische installatie van
'updates'......

Het is een veronderstelling
11-05-2007, 16:08 door SirDice
De admin stelt dit in op de machine... Patches kunnen dan in
de achtergrond worden gedownload en eventueel geinstalleerd
worden. Dit gaat buiten de, op dat moment, ingelogde
gebruiker om.
11-05-2007, 17:29 door Anoniem
Bij ons op het bedrijf en van bij collega bedrijven hadden we afgelopen
woensdag 9 mei 2007 grote problemen met pc's die gedurende kortere of
langere tijd niet meer te gebruiken waren! Dit was m.i. te wijtten aan
malware die geladen werd buiten WSUS om of in ieder geval toegestaan
werd. Met BITS dus volgens mij! Pas na het langdurig laden van nieuwe
updates van Microsoft draaiden de pc's weer enigzins normaal.
Waanzinnig veel tijdverlies!!
Zijn er meerdere mensen die deze problemen hadden en wat is de
consequentie nu eigenlijk?
12-05-2007, 01:03 door Anoniem
Hallo ik zit hier met een aantal mensen te discuseren over dit onderwerp,
maar we begrijpen niet helemaal hoe een derde partij malware op onze
machine kan installeren. Zover ik het zie, maakt Microsoft iedere maand
contact met mijn machine, en ziet welke update ik nog moet hebben.
Vervolgens geef ik dan aan welke updates ik wil installeren.

Wat we nu niet begrijpen is hoe een derde partij updates zou willen
installeren . Gaat dit alleen als ik een trojan [ server ] heb binnen gehaald ?
of kan een derde partij ook een "update installeren" zonder dat ik daarvoor
toestemming heb gegeven. ???
12-05-2007, 03:42 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.