Вирусописатели используют Microsoft BITS для повторного заражения системы

image

Теги: вредоносное ПО, троян

Исследователи обнаружили опасный троян, использующий функционал BITS для обеспечения постоянного присутствия вредоносного ПО на системе.

Служба фоновой интеллектуальной передачи данных (Background Intelligent Transfer Service - BITS) используется в ОС Windows для загрузки обновлений безопасности. Именно это свойство службы злоумышленники используют для сокрытия своего присутствия на скомпрометированной системе примерно с 2007 года.

Исследователи из компании Dell SecureWorks обнаружили опасное вредоносное ПО Zlob.Q (по классификации Symantec), использующее службу фоновой передачи данных Microsoft для связи с C&C-сервером. Во время расследования инцидента безопасности в одном из высших учебных заведений специалисты обнаружили подозрительную активность со стороны BITS после очистки системы от вредоносного ПО. В журнале событий появлялись записи о запланированных задачах, однако эти задачи не были нигде видны.

Более детальное расследование показало, что задачи были созданы в базе данных BITS. Даже после успешного удаления вредоноса на системе запускалась задача по расписанию. Запускаемый ею сценарий обращался к C&C-серверу, загружал на систему вредонос, производил его установку и удалял себя по окончании всего процесса. Таким образом злоумышленники обеспечивали постоянное присутствие вредоносного ПО на системе даже после ее очистки с помощью антивируса.

Исследователи рекомендуют пользователям, наблюдающим подозрительную активность со стороны BITS-службы, проверить задачи по расписанию внутри базы данных BITS. Это можно сделать с помощью PowerShell сценария или команды:

bitsadmin /list /allusers /verbose

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.