任何问题总有解决的办法。我们知道,计算机系统要与Windows的更新站点进行交互,就必须使用后台智能传输服务,即所谓的BITS。BITS利用用户系统未用的带宽来下载补丁和更新文档。它还使得Windows服务器更新服务、系统管理服务器以及微软的即时通信产品的文件传输更加容易。在许多系统中包含BITS功能,如windows xp Service Pack 1、windows 2000 Service Pack 3以及现在最新的Windows操作系统。
我们发现,作为当前操作系统(如windows xp和Windows vista等)一部分的Windows防火墙允许BITS发送和接收来自互联网的数据,却不会激发任何警告。也就是说不会弹出类似如下的窗口:
事实上,这种攻击并不是由Windows更新的缺陷引起的。任何攻击者都没有也不可能将恶意文件上传到微软的网站上用于BITS下载。要让攻击工作,用户必须先下载Win32/Jowspry并执行它。也只有这样这种特洛伊木马程序才能BITS安装额外的恶意软件。想要恶意地使用BITS,特洛伊木马程序需要存在于用户计算机上。BITS并非最初感染的攻击源。一旦将自身安装到计算机上,恶意软件就用这样一种机制绕过防火墙技术。
我们权且将这种攻击称之为Windows更新攻击,迎战这种攻击的最佳方法在于在公司的用户中增强防范意识,教育他们如何处理来自未知或意外的源站点的信息(包括链接和文档、程序等)。这就会减少用户下载Jowspry或其它能够感染计算机的恶意程序的机会。一些安全专家建议将BITS限制为只能给经核准的或可信任的站点或链接。然而,许多第三方的软件厂商用它来发布软件更新,这种限制就会引起不少麻烦,你需要仔细维护经认可的站点,需要筹划该将哪些站点列入优良者名单。
虽然这种攻击只不过是众多攻击中的小菜一碟,不过却向我们展示了各种攻击日益增加的复杂性和惊人的发展速度,并可以帮助我们深入理解Windows操作系统本身。