犯罪分子找到一种通过Windows BITS服务再次利用恶意软件感染计算机的方法。
BITS(后台智能传输服务)是用来在客户端和服务器之间传输文件的一个Windows工具,它基于一系列计划任务而运作,并且是负责下载并推出Windows更新数据包及其他定期软件更新的服务。
戴尔研究人员指出,犯罪分子通过BITS设置循环的恶意软件下载任务,随后利用自动运行功能安装恶意软件。利用BITS并非新鲜事,犯罪分子早在2006年也曾利用过该服务,当时俄罗斯犯罪分子正在散播能够使用BITS下载并安装恶意软件的恶意代码。
在本案例中,安全研究人员在调查没有受恶意软件感染的系统时,发现该系统还在针对可疑忘了活动发出奇怪的安全警报。随后安全研究人员发现,3月4日首次恶意软件感染发生在一台Win 7电脑上,而最初的恶意软件Zlob.Q已将恶意内容添加到BITS服务中。这些恶意BITS会将恶意代码下载到系统中并运行。
由于用户的杀毒解决方案删除了最初的恶意软件,但BITS任务还存在,它会定期下载恶意软件。由于BITS服务受信任,杀毒解决方案无法将这些活动标记为恶意活动,而是针对非正常活动发送警报。
安全研究人员发现,在本案例中BITS任务下载并推出一个DLL文件。该DLL文件作为一个“通知程序”而被执行。BITS任务的最长生命周期为90天,而且如果恶意作者正确执行的话,它们会在受感染系统中站稳脚跟。