14. Mai 2007
Posted in Internet News

Die Windows-Komponente "Background Intelligent Transfer Service" (BITS) scheint von Malware-Autoren zum Upload ihrer Werke missbraucht zu werden. Das berichtet Ars technica unter Bezug auf einen Beitrag im Web Log von Symantec, der in der vergangenen Woche veröffentlicht wurde.

In dem Symantec-Posting heißt es dazu in der Titelzeile provokant "Malware Update mit Windows Update". Das , so Ars technica, ist vermutlich im Zusammenhang mit der angespannten Situation zwischen Symantec und Microsoft zu sehen, nachdem Microsoft sich zunehmend als Konkurrent der Sicherheitsunternehmen positioniert.

Allerdings ist diese vereinfachte Darstellung Symantecs wenig hilfreich, denn inzwischen wird schon teilweise empfohlen, lieber auf das Windows Update zu verzichten. Doch beim Windows Update selbst besteht keine Gefahr, Trojaner oder ähnliche Malware zu laden. Vielmehr scheint ein "in der Wildnis" kursierender Trojaner ("TrojanDownloader:Win32/Jowspry") die vorhandene BITS-Installation zu benutzen, um eigene Downloads vorzunehmen.

Denn ein Merkmal der Datenübertragung mit Hilfe von BITS ist es beispielsweise die Firewall bei diesem Download umgangen wird. Der Firewall wird signalisiert, dass es sich um einen sicheren Download handelt. Im Rahmen des Windows Updates sicher eine sinnvolle Routine, nicht aber beim Download von Schad-Software.

Allerdings kann diese Möglichkeit auch nur genutzt werden, wenn der Trojaner bereits den Rechner infiziert hat. Erst dann wird BITS von dem Trojaner genutzt, um beispielsweise durch den Download weiterer Software die Funktionalität zu erweitern.