|
如果您是一位Windows的用户就需要注意到微软网站上看一下您就会发现评述一个称为Win/Jowspry的恶意程序的报告这个恶意程序利用了Windows的自动更新服务将文件下载到用户的计算机上对用户的计算机系统大肆进行破坏当然你可能会想到一个理智的做法是停止使用 Windows的更新服务这可以防止恶意软件的安装虽然防守是最好的攻击但如何保障一台Windows计算机在更新时免受新的安全威胁呢? 任何问题总有解决的办法我们知道计算机系统要与Windows的更新站点进行交互就必须使用后台智能传输服务即所谓的BITSBITS利用用户系统未用的带宽来下载补丁和更新文档它还使得Windows服务器更新服务系统管理服务器以及微软的即时通信产品的文件传输更加容易在许多系统中包含BITS功能如Windows XP Service Pack Windows Service Pack 以及现在最新的Windows操作系统 我们发现作为当前操作系统(如Windows XP和Windows Vista等)一部分的Windows防火墙允许BITS发送和接收来自互联网的数据却不会激发任何警告很显明通过劫持这种服务在试图利用 Windows漏洞时恶意软件的作者能够快速地绕过其主要的障碍绕过防火墙的过滤器能够在无需警告用户的情况下实现恶意文件的安装即使用户采用了基于网络的防火墙并尽力区分BITS可以下载的数据和绝对不能下载的数据BITS活动的低带宽消耗和异步传输特性也会使得防火墙难于检测任何恶意活动 事实上这种攻击并不是由Windows更新的缺陷引起的任何攻击者都没有也不可能将恶意文件上传到微软的网站上用于BITS下载要让攻击工作用户必须先下载Win/Jowspry并执行它也只有这样这种特洛伊木马程序才能BITS安装额外的恶意软件想要恶意地使用BITS特洛伊木马程序需要存在于用户计算机上BITS并非最初感染的攻击源一旦将自身安装到计算机上恶意软件就用这样一种机制绕过防火墙技术 我们权且将这种攻击称之为Windows更新攻击迎战这种攻击的最佳方法在于在公司的用户中增强防范意识教育他们如何处理来自未知或意外的源站点的信息(包括链接和文档程序等)这就会减少用户下载Jowspry或其它能够感染计算机的恶意程序的机会一些安全专家建议将BITS限制为只能给经核准的或可信任的站点或链接然而许多第三方的软件厂商用它来发布软件更新这种限制就会引起不少麻烦你需要仔细维护经认可的站点需要筹划该将哪些站点列入优良者名单 虽然这种攻击只不过是众多攻击中的小菜一碟不过却向我们展示了各种攻击日益增加的复杂性和惊人的发展速度并可以帮助我们深入理解Windows操作系统本身 |
