• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Вирусописатели используют Microsoft BITS для повторного заражения системы

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,437
Симпатии
8,714
#1
Исследователи обнаружили опасный троян, использующий функционал BITS для обеспечения постоянного присутствия вредоносного ПО на системе.

Служба фоновой интеллектуальной передачи данных (Background Intelligent Transfer Service - BITS) используется в ОС Windows для загрузки обновлений безопасности. Именно это свойство службы злоумышленники используют для сокрытия своего присутствия на скомпрометированной системе примерно с 2007 года.

pic.jpg

Исследователи из компании Dell SecureWorks обнаружили опасное вредоносное ПО Zlob.Q (по классификации Symantec), использующее службу фоновой передачи данных Microsoft для связи с C&C-сервером. Во время расследования инцидента безопасности в одном из высших учебных заведений специалисты обнаружили подозрительную активность со стороны BITS после очистки системы от вредоносного ПО. В журнале событий появлялись записи о запланированных задачах, однако эти задачи не были нигде видны.

Более детальное расследование показало, что задачи были созданы в базе данных BITS. Даже после успешного удаления вредоноса на системе запускалась задача по расписанию. Запускаемый ею сценарий обращался к C&C-серверу, загружал на систему вредонос, производил его установку и удалял себя по окончании всего процесса. Таким образом злоумышленники обеспечивали постоянное присутствие вредоносного ПО на системе даже после ее очистки с помощью антивируса.

Исследователи рекомендуют пользователям, наблюдающим подозрительную активность со стороны BITS-службы, проверить задачи по расписанию внутри базы данных BITS. Это можно сделать с помощью PowerShell сценария или команды:
Код:
bitsadmin /list /allusers /verbose
Источник
 
Последнее редактирование модератором:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,729
Симпатии
5,635
#2
Это можно сделать с помощью PowerShell сценария или команды:

bitsadmin /list /allusers /verbose
Это всё хорошо. Только не-специалист не разберется.
У меня там например сейчас километровый лог из 11 заданий. При том, что все обновления установлены.
Они бы хоть пример привели своего лога, или хотя бы на что обратить внимание.

Мой пример:
C:\Windows\system32>bitsadmin /list /allusers

BITSADMIN version 3.0 [ 7.8.10586 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

{1CE4D55B-3815-437E-B94B-44677531E98E} 'Font Download' SUSPENDED 0 / 0 0 / 0
{89FE2196-3856-4735-B9E0-E4B7CE7C7DE5} 'Font Download' SUSPENDED 0 / 0 0 / 0
{6EC5A43A-9C68-4D17-A5C6-C55023C7F2E5} 'Font Download' SUSPENDED 0 / 0 0 / 0
{2DEF9921-0731-4673-8E60-D220A5C81144} 'Font Download' SUSPENDED 0 / 0 0 / 0
{12700E5C-D31D-4D3B-B387-AB94C2BB6E8E} 'Font Download' SUSPENDED 0 / 0 0 / 0
{AB5AAAB5-02E6-45EE-9502-2DBAA055BA54} 'Font Download' SUSPENDED 0 / 0 0 / 0
{97C0CE73-7F3F-4245-ACD8-2F38881107C9} 'Font Download' SUSPENDED 0 / 0 0 / 0
{5FBB5457-B759-4645-BF06-CC3CBF260CD3} 'Font Download' SUSPENDED 0 / 0 0 / 0
{AAD2E699-346F-40BC-9354-2C0624E1627C} 'Font Download' SUSPENDED 0 / 0 0 / 0
{61DCF4BF-A12F-4B12-854D-0DF38E5EF503} 'Font Download' SUSPENDED 0 / 0 0 / 0
{F2868D45-C863-4B2B-A558-EA85CA4B79D5} 'Font Download' SUSPENDED 0 / 0 0 / 0
Listed 11 job(s).
GUID: {F2868D45-C863-4B2B-A558-EA85CA4B79D5} DISPLAY: 'Font Download'
TYPE: DOWNLOAD STATE: SUSPENDED OWNER: NT AUTHORITY\LOCAL SERVICE
PRIORITY: HIGH FILES: 0 / 0 BYTES: 0 / 0
CREATION TIME: 10.06.2016 15:28:47 MODIFICATION TIME: 10.06.2016 15:28:47
COMPLETION TIME: UNKNOWN ACL FLAGS:
NOTIFY INTERFACE: UNREGISTERED NOTIFICATION FLAGS: 3
RETRY DELAY: 600 NO PROGRESS TIMEOUT: 1209600 ERROR COUNT: 0
PROXY USAGE: PRECONFIG PROXY LIST: NULL PROXY BYPASS LIST: NULL
DESCRIPTION:
JOB FILES:
NOTIFICATION COMMAND LINE: none
owner MIC integrity level: SYSTEM
owner elevated ? true
This job is read-only to the current CMD window because the job's mandatory
integrity level of SYSTEM is higher than the window's level of HIGH.
Peercaching flags
Enable download from peers :false
Enable serving to peers :false

CUSTOM HEADERS: NULL
И толку от этого?
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,106
Симпатии
5,764
#3
Вообще не понятно чего они решили из этого новость делать, если ничего нового в этом нет (хотя кто знает, может для спецов из симантека это действительно новость?, к примеру проверено на практике (запустил вирус на машине с Norton Security 2015) вирус Bolik из соседнй темы на данный момент они вообще не видят).
А по сабжу добавлю, что "Сброс очереди BITS" есть даже в AdwCleaner. И для не-специалистов, проще будет воспользоваться им. Но разумеется рекомендую сначала провериться в разделе лечения, чтобы вычистить все следы вируса.
 
Последнее редактирование:
Сверху Снизу