Cerca nel blog

2007/05/22

Aggiornamenti di Windows usati come canale d’infezione

Jowspry, il virus che sfrutta Windows Update


Questo articolo vi arriva grazie alle gentili donazioni di "maurizio.p****" e "avvfrancofa****".

La CA e altre società informatiche segnalano la circolazione, per ora limitata, di un virus innovativo, battezzato Jowspry, che utilizza un nuovo canale d'infezione: l'aggiornamento di Windows.

Jowspry dovrebbe essere già riconosciuto dagli antivirus aggiornati, ma vale la pena di parlarne per la sua originalità. Come descritto da CA, Jowspry è più propriamente un trojan, ossia un programma che sembra avere una funzione innocua ma in realtà agisce dietro le quinte: nel caso specifico, scarica da Internet del software ostile.

La novità sta nel fatto che lo scaricamento avviene utilizzando il servizio BITS (Background Intelligent Transfer Service) di Windows: quello che si occupa dello scaricamento degli aggiornamenti. Poiché fa parte del sistema operativo, è considerato fidato da Windows ed è quindi in grado di scavalcare eventuali firewall locali. Inoltre l'uso di questo programma non fa scattare nessuno dei normali allarmi, perché la sua azione fa parte delle funzioni normalmente previste.

I dettagli tecnici sono pubblicati anche da Symantec e da Frank Boldewin su Reconstructer.org, insieme a del codice dimostrativo (proof of concept). La tecnica in sé non è una novità assoluta, nota Symantec, ma è Jowspry è il primo esemplare trovato in circolazione. Al momento non esistono contromisure a parte la prevenzione: infatti Jowspry deve prima infettare la vittima Windows convincendo l'utente a farsi eseguire, usando le tecniche tradizionali, e soltanto dopo utilizza BITS per scaricare altro codice ostile.

11 commenti:

FridayChild ha detto...

Mi pare che gli antivirus Symantec al momento in cui scrivo ancora non abbiano in base dati questo malware.

JohnWayneJr ha detto...

"Al momento non esistono contromisure a parte la prevenzione:"

Ovvero, installate Linux!!!!

Dan ha detto...

Bene. E ora?
Fino ad ora per stare al sicuro bisognava scaricarli, gli aggiornamenti, ora si deve stare attenti perchè insieme potremmo scaricare qualcos'altro...
Quindi d'ora in poi prima installi windows, poi un firewall, poi l'antivirus, poi lo aggiorni pregando che nel frattempo non entri qualcosa da una falla, e poi fai partire windowsupdate? Oppure aggiornamento dell'antivirus e WU contemporaneamente..?
Temo che davvero a questo punto la procedura più semplice sia per prima cosa installare una distro Linux, poi prendere il CD di Windows e chiuderlo in un cassetto... e finalmente lavorare tranquilli.

Anonimo ha detto...

"che utilizza un nuovo canale d'infezione: l'aggiornamento di Windows."

Pura disinformazione!

Forse è il caso di leggersi questa spiegazione tecnica nella quale si capisce chiaramente come Windows Update non centri proprio nulla. > http://blogs.technet.com/feliciano_intini/archive/2007/05/17/Malware-attraverso-Windows-Update-Ma-no-.aspx

FridayChild ha detto...

In effetti non e' che facendo Windows Update ti becchi il virus... e' il virus che sfrutta il motore di Windows Update. No?

Riccardo (D.O.C.) ha detto...

Un po' scherzosamente e un po' no, potremmo dire che Windows si rende colpevole di favoreggiamento...

Però resta il fatto che chissà perché 'ste cose capitano quasi sempre a WIndows... Il sospetto che sia un colabrodo non è poi così infondato...

Dan ha detto...

" FridayChild ha detto...

In effetti non e' che facendo Windows Update ti becchi il virus... e' il virus che sfrutta il motore di Windows Update. No? "

Però ci sono virus che entrano nel sistema sfruttando falle che permettono di aggirare il firewall di windows, per esempio. Così quando ti colleghi per aggiornarti e proteggerti rischi invece di fregarti con le tue mani... come dicevo sopra, si rischia di trovarsi costretti a controllare con attenzione la sequenza di azioni che si effettuano per aggiornare i programmi.
Per esempio, quando ho connesso alla rete un computer dell'ufficio, e quindi eseguendo windows update per la prima volta, nei dieci minuti che ci ho messo ad andare sul sito relativo e scaricarmi ZoneAlarm, Kasperski (per fortuna già presente) aveva già segnalato un tentativo di infezione.
Ora, non so bene quali conseguenza possa portare una falla del genere, ma certo non è una bella notizia, nè una cosetta di poca importanza.

P.S. Paolo, bellissima la foto di Biru cogitabondo!

FridayChild ha detto...

Mah, non e' che aggiornando il PC con Windows Update ti freghi (a meno che gli aggiornamenti non contengano bug: e' successo, e' successo). Piuttosto, rischi di fregarti se mentre stai scaricando gli update (e quindi hai vulnerabilita' non patchate) qualcosa ti "entra"...
I problemi peggiori li ho avuti con i sistemi WinXP senza SP2: in 2 minuti erano compromessi. Soluzione: installare SP2 e antivirus offline; aggiornare l'antivirus offline; e solo a questo punto collegarsi e aggiornare il sistema con W.U.

Paolo Attivissimo ha detto...

Non è Biru (buonanima), ma un gatto trovato su Internet.

Dan ha detto...

Ah, scusa, mi era sembrato.

"Piuttosto, rischi di fregarti se mentre stai scaricando gli update (e quindi hai vulnerabilita' non patchate) qualcosa ti "entra"...
Infatti, infatti... le complicazioni per avere la sicurezza aumentano sempre di più. Forse ho capito perchè i computer spesso li vendono con l'antivirus in bundle...

I problemi peggiori li ho avuti con i sistemi WinXP senza SP2: in 2 minuti erano compromessi."
Come ti ho detto anch'io: il tempo di andare sul sito di ZoneLabs e scaricare ZoneAlarm, quanto ci sarà voluto, cinque, dieci minuti? Dopo pochi minuti che stava scaricando, Kasperski mi segnala che un file EXE "parcheggiato" sul desktop era infetto. Per fortuna roba di poco conto, ho potuto cancellarlo senza rimpianti, però... E se penso che c'è gente che va in giro per la rete con sistemi Windows che forse sono patchati se l'aggiornamento automatico è attivato, che navigano con l'IE incluso nel sistema e per cui i virus sono entità mostruose e astratte... mi vengono i brividi.

Michela ha detto...

"Vaticano batte Jowspry".
Scusate la battuta.
Ieri sera ho ricevuto un aggiornamento inatteso:

KB927891

Per piacere, sapete se è tutto OK?
Grazie
Michela