技巧：讓Windows更新對惡意軟件說“不”

如果您是一位Windows的用戶，就需要注意到微軟網站上看一下，您就會發(fā)現(xiàn)評述一個稱為Win32/Jowspry的惡意程序的報告。這個惡意程序利用了Windows的自動更新服務將文件下載到用戶的計算機上，對用戶的計算機系統(tǒng)大肆進行破壞。當然，你可能會想到，一個理智的做法是停止使用Windows的更新服務，這可以防止惡意軟件的安裝。雖然“防守是的攻擊。”但如何保障一臺Windows計算機在更新時免受新的安全威脅呢？
    任何問題總有解決的辦法。我們知道，計算機系統(tǒng)要與Windows的更新站點進行交互，就必須使用后臺智能傳輸服務，即所謂的BITS。BITS利用用戶系統(tǒng)未用的帶寬來下載補丁和更新文檔。它還使得Windows服務器更新服務、系統(tǒng)管理服務器以及微軟的即時通信產品的文件傳輸更加容易。在許多系統(tǒng)中包含BITS功能，如Windows XP Service Pack 1、Windows 2000 Service Pack 3以及現(xiàn)在最新的Windows操作系統(tǒng)。
    我們發(fā)現(xiàn)，作為當前操作系統(tǒng)（如Windows XP和Windows Vista等）一部分的Windows防火墻允許BITS發(fā)送和接收來自互聯(lián)網的數(shù)據(jù)，卻不會激發(fā)任何警告。也就是說不會彈出類似如下的窗口：
    很顯明，通過劫持這種服務，在試圖利用Windows漏洞時，惡意軟件的作者能夠快速地繞過其主要的障礙。繞過防火墻的過濾器能夠在無需警告用戶的情況下實現(xiàn)惡意文件的安裝。即使用戶采用了基于網絡的防火墻，并盡力區(qū)分BITS可以下載的數(shù)據(jù)和絕對不能下載的數(shù)據(jù)。BITS活動的低帶寬消耗和異步傳輸特性也會使得防火墻難于檢測任何惡意活動。
    事實上，這種攻擊并不是由Windows更新的缺陷引起的。任何攻擊者都沒有也不可能將惡意文件上傳到微軟的網站上用于BITS下載。要讓攻擊工作，用戶必須先下載Win32/Jowspry并執(zhí)行它。也只有這樣這種特洛伊木馬程序才能BITS安裝額外的惡意軟件。想要惡意地使用BITS，特洛伊木馬程序需要存在于用戶計算機上。BITS并非最初感染的攻擊源。一旦將自身安裝到計算機上，惡意軟件就用這樣一種機制繞過防火墻技術。
    我們權且將這種攻擊稱之為Windows更新攻擊，迎戰(zhàn)這種攻擊的方法在于在公司的用戶中增強防范意識，教育他們如何處理來自未知或意外的源站點的信息（包括鏈接和文檔、程序等）。這就會減少用戶下載Jowspry或其它能夠感染計算機的惡意程序的機會。一些安全專家建議將BITS限制為只能給經核準的或可信任的站點或鏈接。然而，許多第三方的軟件廠商用它來發(fā)布軟件更新，這種限制就會引起不少麻煩，你需要仔細維護經認可的站點，需要籌劃該將哪些站點列入優(yōu)良者名單。
    雖然這種攻擊只不過是眾多攻擊中的小菜一碟，不過卻向我們展示了各種攻擊日益增加的復雜性和驚人的發(fā)展速度，并可以幫助我們深入理解Windows操作系統(tǒng)本身。