如果您是一位Windows的用戶
就需要注意到微軟網站上看一下
您就會發現評述一個稱為Win
/Jowspry的惡意程序的報告
這個惡意程序利用了Windows的自動更新服務將文件下載到用戶的計算機上
對用戶的計算機系統大肆進行破壞
當然
你可能會想到
一個理智的做法是停止使用 Windows的更新服務
這可以防止惡意軟件的安裝
雖然
防守是最好的攻擊
但如何保障一台Windows計算機在更新時免受新的安全威脅呢?
任何問題總有解決的辦法
我們知道
計算機系統要與Windows的更新站點進行交互
就必須使用後台智能傳輸服務
即所謂的BITS
BITS利用用戶系統未用的帶寬來下載補丁和更新文檔
它還使得Windows服務器更新服務
系統管理服務器以及微軟的即時通信產品的文件傳輸更加容易
在許多系統中包含BITS功能
如Windows XP Service Pack
Windows
Service Pack
以及現在最新的Windows操作系統
我們發現
作為當前操作系統(如Windows XP和Windows Vista等)一部分的Windows防火牆允許BITS發送和接收來自互聯網的數據
卻不會激發任何警告
很顯明
通過劫持這種服務
在試圖利用 Windows漏洞時
惡意軟件的作者能夠快速地繞過其主要的障礙
繞過防火牆的過濾器能夠在無需警告用戶的情況下實現惡意文件的安裝
即使用戶采用了基於網絡的防火牆
並盡力區分BITS可以下載的數據和絕對不能下載的數據
BITS活動的低帶寬消耗和異步傳輸特性也會使得防火牆難於檢測任何惡意活動
事實上
這種攻擊並不是由Windows更新的缺陷引起的
任何攻擊者都沒有也不可能將惡意文件上傳到微軟的網站上用於BITS下載
要讓攻擊工作
用戶必須先下載Win
/Jowspry並執行它
也只有這樣這種特洛伊木馬程序才能BITS安裝額外的惡意軟件
想要惡意地使用BITS
特洛伊木馬程序需要存在於用戶計算機上
BITS並非最初感染的攻擊源
一旦將自身安裝到計算機上
惡意軟件就用這樣一種機制繞過防火牆技術
我們權且將這種攻擊稱之為Windows更新攻擊
迎戰這種攻擊的最佳方法在於在公司的用戶中增強防范意識
教育他們如何處理來自未知或意外的源站點的信息(包括鏈接和文檔
程序等)
這就會減少用戶下載Jowspry或其它能夠感染計算機的惡意程序的機會
一些安全專家建議將BITS限制為只能給經核准的或可信任的站點或鏈接
然而
許多第三方的軟件廠商用它來發布軟件更新
這種限制就會引起不少麻煩
你需要仔細維護經認可的站點
需要籌劃該將哪些站點列入優良者名單
雖然這種攻擊只不過是眾多攻擊中的小菜一碟
不過卻向我們展示了各種攻擊日益增加的復雜性和驚人的發展速度
並可以幫助我們深入理解Windows操作系統本身
From:http://tw.wingwit.com/Article/os/xtgl/201311/10151.html
