当心 Windows自动更新已被黑客劫持

    【IT168 软件资讯】据Symantec研究人员透露：5月10日，黑客成功利用系统文件传输组件透过防火墙偷偷地将恶意软件传达给用户，而这一系统组件正是大家广泛使用的Windows Update自动更新程序。

    微软操作系统采用了BITS（Background Intelligent Transfer Service，后台智能传输服务），并借助Windows Update更新程序来传输系统补丁。BITS最早出现在Window XP系统中，并嵌入到了 Windows Server 2003和Windows Vista系统中，它是一个具备自动节流功能的异步文件传输服务。因此，在下载的同时不会对其它网络设备产生影响，如果连接断开，它会自动重新开始。

    “BITS是一个非常棒的组件，如果你假定它支持HTTP并且可以由COM API编程，那么它无疑是你使用Windows下载文件最完美的工具”，Symantec安全响应团队的研究员Elia Florio在其团队的博客上如是说，“不幸的是，下载的文件也包含一些恶意的文件”。

    对于一些木马制造者在已经泄密的电脑上调用BITS来下载插件代码，Florio指出：“一个简单的原因，那就是BITS是操作系统的一部分，因此BITS在下载任何文件时都能够得到本地防火墙的信任，并放行。”

    恶意软件，尤其是木马，非常有代表性的就是首先在系统中为开启一个后门，同时还要躲避防火墙，从而在电脑中加入其它的恶意软件，比如键盘记录程序。“但是最常见的方法就是入侵系统，这需要进程注入或者提升可疑程序的警戒信号”，Florio如是说。

    “这非常新奇”，Symantec安全响应团队的主管Oliver Friedrichs认为，“攻击者更改了操作系统本身的一些组件来更新他们的内容，但是绕过防火墙的思路不足为奇。”

    去年晚些时候，Symantec首先在日本黑客留言板上截获关于BITS的信息，Friedrichs补充说，从那以后就一直在关注。3月发现的这个木马是第一次将这种技术应用到实践的木马之一。

    “BITS带来的最大的好处在于它使得恶意程序可以避开防火墙”，Friedrichs如此说。“并且，它也是一个更可靠的下载机制，它免费、可靠，还不需要重写他们的下载代码。”

    尽管BITS控制着由微软Windows自动更新服务提供的文件下载，Friedrichs让用户打消这个顾虑：这个服务本身是没有任何风险的。“目前还没有证据怀疑Windows Update自动更新会泄密。如果它真的存在漏洞，那么肯定早就有人找到了这个漏洞了。”

    “但是，这也显示出这些攻击者将更改他们的组件，并且在制作软件的时候越来越模块化。他们只是简单地遵从了传统软件的发展趋势”Friedrichs如是说。

    Florio表明没有办法阻止黑客利用BITS机制。“很难检测哪些BITS是应该下载的，哪些是不应该下载的”，他还为微软提出了一些忠告：“或许BITS接口应该被设计为只有更高等级的用户才能使用，或者由BITS发起的下载任务笔记限制在可信任的URL网址。”

    微软对于未授权的BITS的滥用问题并没有立即进行回应。