19. Mai 2007

BITS Download Service

Category: Hacking — Christian @ 15:02

Hach ja … endlich hier bei Symantec eine universelle Lösung zur Problematik, Schadcode-Updates an der Personal Firewall vorbeizubringen.

Alle vernünftigen Firewalls (die Windows XP Firewall natürlich nicht) filtern auch ausgehenden Datenverkehr und lassen nicht jedes Programm mit dem Internet kommunizieren. Daher hat ein Schadprogramm das Problem, beim Nachladen der Module typischerweise einen Alarm auf der Firewall auszulösen. Für diese Beschränkung gibt es nun mehrere Standardverfahren:

  • Starten eines Threads, der ständig „ok“ an den Firewall-Prozess schickt, so dass ein aufgehendes Fenster automatisch beantwortet wird. Das könnte ein aufmerksamer Benutzer allerdings bemerken.
  • Shutdown der Firewall, allerdings würde das ein aufmerksamer Benutzer ebenfalls erkennen. Es gibt zwar einen weiteren Trick wie man die Warnung des Windows Security Center deaktiviert, aber das wird dann alles ein wenig aufwändiger.
  • Die beliebteste Technik ist Code Injection in den Internet Explorer. Das funktioniert ganz ordentlich, diese Browser Helper Objects machen nichts anderes. Die Google Toolbar ist z.B. so etwas.

Und jetzt hat also endlich jemand den BITS Dienst von Windows Update entdeckt. Das ist ein Systemdienst, der darf durch die Personal Firewall, das gibt keinen Alarm und es laufen auch keine seltsamen Prozesse im Hintergrund. Sehr elegant.

Ein erster PoC ist auch schon aufgetaucht.

3 Comments

  1. hallo leute,
    soo eine HEIMTUECKE – da geht einem ja der hut hoch!
    eigentlich sollte mal jemand kompetentes eine spezielle software gegen sowas schreiben, ist ja echt gemeingefaehrlich …
    m.f.g.

    Comment by thunderbolty — 24. Mai 2007 @ 09:53

  2. Ja, vielleicht Microsoft 🙂
    Im Ernst, am besten ist man schaltet das Internet einfach ab. Leider haben inzwischen aber so viele Programme „Phone-home“ Funktion, egal ob das Microsoft ist (Vista ist ja besonders krass), der Virenscanner, Java oder Firefox. Alle Programme möchten automatisch irgendwas aus dem Internet nachladen und sei es nur die neueste Version. Als Anwender hat man da inzwischen keine echte Kontrolle mehr. Außer, man schaltet das Internet einfach ab.

    Comment by Christian — 6. Juni 2007 @ 23:52

  3. Kommentare gesperrt wegen Spam

    Comment by Christian — 15. März 2009 @ 19:54

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.