Cerca nel blog

2007/05/22

Aggiornamenti di Windows usati come canale d’infezione

Jowspry, il virus che sfrutta Windows Update


Questo articolo vi arriva grazie alle gentili donazioni di "maurizio.p****" e "avvfrancofa****".

La CA e altre società informatiche segnalano la circolazione, per ora limitata, di un virus innovativo, battezzato Jowspry, che utilizza un nuovo canale d'infezione: l'aggiornamento di Windows.

Jowspry dovrebbe essere già riconosciuto dagli antivirus aggiornati, ma vale la pena di parlarne per la sua originalità. Come descritto da CA, Jowspry è più propriamente un trojan, ossia un programma che sembra avere una funzione innocua ma in realtà agisce dietro le quinte: nel caso specifico, scarica da Internet del software ostile.

La novità sta nel fatto che lo scaricamento avviene utilizzando il servizio BITS (Background Intelligent Transfer Service) di Windows: quello che si occupa dello scaricamento degli aggiornamenti. Poiché fa parte del sistema operativo, è considerato fidato da Windows ed è quindi in grado di scavalcare eventuali firewall locali. Inoltre l'uso di questo programma non fa scattare nessuno dei normali allarmi, perché la sua azione fa parte delle funzioni normalmente previste.

I dettagli tecnici sono pubblicati anche da Symantec e da Frank Boldewin su Reconstructer.org, insieme a del codice dimostrativo (proof of concept). La tecnica in sé non è una novità assoluta, nota Symantec, ma è Jowspry è il primo esemplare trovato in circolazione. Al momento non esistono contromisure a parte la prevenzione: infatti Jowspry deve prima infettare la vittima Windows convincendo l'utente a farsi eseguire, usando le tecniche tradizionali, e soltanto dopo utilizza BITS per scaricare altro codice ostile.

Nessun commento: