Вирусописатели используют Microsoft BITS для повторного заражения системы

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 10 июн 2016.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Исследователи обнаружили опасный троян, использующий функционал BITS для обеспечения постоянного присутствия вредоносного ПО на системе.

    Служба фоновой интеллектуальной передачи данных (Background Intelligent Transfer Service - BITS) используется в ОС Windows для загрузки обновлений безопасности. Именно это свойство службы злоумышленники используют для сокрытия своего присутствия на скомпрометированной системе примерно с 2007 года.

    pic.jpg

    Исследователи из компании Dell SecureWorks обнаружили опасное вредоносное ПО Zlob.Q (по классификации Symantec), использующее службу фоновой передачи данных Microsoft для связи с C&C-сервером. Во время расследования инцидента безопасности в одном из высших учебных заведений специалисты обнаружили подозрительную активность со стороны BITS после очистки системы от вредоносного ПО. В журнале событий появлялись записи о запланированных задачах, однако эти задачи не были нигде видны.

    Более детальное расследование показало, что задачи были созданы в базе данных BITS. Даже после успешного удаления вредоноса на системе запускалась задача по расписанию. Запускаемый ею сценарий обращался к C&C-серверу, загружал на систему вредонос, производил его установку и удалял себя по окончании всего процесса. Таким образом злоумышленники обеспечивали постоянное присутствие вредоносного ПО на системе даже после ее очистки с помощью антивируса.

    Исследователи рекомендуют пользователям, наблюдающим подозрительную активность со стороны BITS-службы, проверить задачи по расписанию внутри базы данных BITS. Это можно сделать с помощью PowerShell сценария или команды:
    Код (Text):

    bitsadmin /list /allusers /verbose
     
    Источник
     
    Последнее редактирование модератором: 11 июн 2016
    Dragokas и shestale нравится это.
  2. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    Это всё хорошо. Только не-специалист не разберется.
    У меня там например сейчас километровый лог из 11 заданий. При том, что все обновления установлены.
    Они бы хоть пример привели своего лога, или хотя бы на что обратить внимание.

    Мой пример:
    И толку от этого?
     
    Последнее редактирование: 10 июн 2016
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Вообще не понятно чего они решили из этого новость делать, если ничего нового в этом нет (хотя кто знает, может для спецов из симантека это действительно новость?, к примеру проверено на практике (запустил вирус на машине с Norton Security 2015) вирус Bolik из соседнй темы на данный момент они вообще не видят).
    А по сабжу добавлю, что "Сброс очереди BITS" есть даже в AdwCleaner. И для не-специалистов, проще будет воспользоваться им. Но разумеется рекомендую сначала провериться в разделе лечения, чтобы вычистить все следы вируса.
     
    Последнее редактирование: 10 июн 2016
    Dragokas нравится это.

Поделиться этой страницей