USD 65.95 ЕВРО 75.15

Вредоносные программы восстанавливаются после удаления

Экономика

Зловредное ПО использует сервис Windows Background Intelligent Transfer Service, остается после очистки антивирусами, и реинфицирует систему

Злоумышленники используют Windows Background Intelligent Transfer Service (BITS) для повторного заражения компьютеров вредоносными программами, уже после того, как машины были очищены антивирусными продуктами.
Данная методика обнаружена в прошлом месяце исследователями из SecureWorks, изучавшими инцидент заражения у клиента. Антивирусное программное обеспечение, установленное на зараженном компьютере, обнаружило и удалило вредоносную программу, но компьютер все еще демонстрировал признаки вредоносной активности на сетевом уровне.
 
При дальнейшем исследовании были обнаружены два посторонних задания, зарегистрированных в сервисе Windows BITS, который используется операционной системой и другими приложениями для загрузки обновлений или передачи файлов. Два вредоносных задания периодически загружались и пытались переустановить удаленные вредоносные программы.
 
Несмотря на то, что это не очень распространенный случай, злоумышленники эксплуатировали BITS для загрузки вредоносных программ еще в 2007 году. Преимущество использования такого подхода заключается в том, что BITS является доверенным сервисом и не блокируется брандмауэром компьютера.
Новая троянская программа, обнаруженная SecureWorks, является частью семейства вредоносных программ DNSChanger,  и использует малоизвестную функцию BITS, чтобы запустить загруженный файл. Это устраняет необходимость в функционале вредоносной программы, который уже существуют в системе.
После завершения передачи, вредоносное задание выполняет команду в качестве «уведомления» BITS. Команда создает и запускает пакетный скрипт под названием x.bat, который проверяет, что файл сохранен и загружен в память компьютера в виде DLL.
С помощью этой техники злоумышленники создали «самодостаточные, загружающиеся и исполняемые BITS-задачи, которые сохранялись даже после того, как оригинальная вредоносная программа была устранена», написали исследователи SecureWorks в своем блоге.
Другая проблема заключается в том, что в то время как журнал событий Windows показал информацию о предыдущих вредоносных передачах BITS, информация об отложенных задачах была ограничена. Исследователям пришлось использовать другие инструменты для анализа базы данных задач BITS, чтобы увидеть полную информацию.
Задачи BITS истекают через 90 дней, но потенциально могут быть продлены. В случае, исследованном SecureWorks, компьютер был заражен 4 марта, и был очищен антивирусом через 10 дней. Задача BITS оставалась до тех пор, пока не была обнаружена в мае.
Компаниям следует рассмотреть вопрос о проверке активных задач BITS на компьютерах, которые продолжают генерировать сетевые или хост-предупреждения системы безопасности после восстановления вредоносных программ, говорят исследователи. Один из способов сделать это, выполнить клиент bitsadmin из сессии cmd.exe с повышенными привилегиями, набрав: bitsadmin /list /allusers /verbose.