44期报告汇总
 
安天发布《一款利用Windows组件复活的木马分析报告》

 
       近日,安天追影小组在持续追踪网络犯罪的过程中,发现一款利用Windows操作系统中的BITS服务组件来下载运行恶意程序的特殊木马。
 
       BITS是后台智能传送服务的简称,作为一个底层而且可靠的传送服务,它可以在后台进行异步文件传输,一般在操作系统的更新中会使用到它,有些第三方应用程序也会使用该组件来处理文件传输。不幸的是,一些攻击者也开始滥用这个服务来下载执行一些恶意程序,以达到绕过系统防火墙的拦截以及安全软件的监控和查杀的目的。
 
       经分析发现,通过一定方法向BITS服务注册下载任务时,可以导致BITS自动下载文件,而它的一些特性又允许自身执行下载好的文件,从这方面来看,BITS的行为与下载者相似。攻击者通过利用BITS服务提供的这些特性,无需修改文件或者注册表项就可以下载执行恶意程序,即不需要在磁盘上留有充当下载者的木马文件,这也使得传统安全软件很难对其进行查杀。而且,即便是一些安全软件可以识别并删除原始木马文件,受害用户电脑上的恶意网络流量依然会处在活跃状态,也就是说BITS服务在后台仍然可以不受干扰的继续下载恶意程序。当恶意程序下载完成后,BITS服务还会运行它,新的恶意程序又会被重新安装在用户电脑上。
 
       为了应对上述威胁,安天追影小组提醒广大用户不要随意运行来历不明的应用程序,使用Win7或更新版本的操作系统,开启UAC(User Account Control,即用户帐户控制,是微软为提高系统安全引入的技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员密码,可以帮助用户防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改),同时要及时更新杀毒软件。