A biztonsági cég kutatói az elmúlt hetekben, hónapokban végzett megfigyelések során arra a következtetésre jutottak, hogy számos vírusíró a Windows Update, vagyis az operációs rendszer frissítését végző platform letöltőszolgáltatását szemelte ki saját kódjai terjesztéséhez. A Background Intelligent Transfer Service (BITS) technológia eredetileg a Windows XP részeként jelent meg, de a Windows Server 2003 és a Vista is támogatja, előnyei között pedig a háttérben történő, más alkalmazások hálózati forgalmát nem befolyásoló, kényelmes letöltéseket említik. Éppen erre van szüksége a vírusok alkotóinak is, akik emellett még egy fontos célt tűztek ki.
Ez pedig nem más, mint a tűzfalak és egyéb védelmi megoldások megkerülése, amit a BITS segítségével vélnek elérhetőnek. A szolgáltatás ugyanis az operációs rendszer része, és mint ilyen, a tűzfalak nem korlátozzák az általa folytatott kommunikációt. Tökéletes szállítóeszköz lehet tehát számos vírusnak, amelyek a már eleve megfertőzött rendszerekre szeretnének további káros kódrészleteket letölteni. „Ez egy nagyon jól megírt komponens, amely HTTP-támogatása és a COM API-n keresztül történő programozhatósága révén könnyen rávehető bármilyen tartalom letöltésére” – magyarázta Elia Florio, a Symantec kutatója.
A cég először még tavaly figyelt fel az ilyen irányú törekvésekre, mégpedig elsőként bizonyos orosz fórumokon, az első gyakorlati alkalmazás pedig idén márciusban bukkant fel egy trójai vírus részeként. Az elsődleges cél itt is a tűzfal megkerülése, amely a BITS révén biztosnak látszik. A jelenlegi védelem hatástalan a megoldás ellen, igaz ez legtöbbször csak akkor igazán káros, ha a rendszer már eleve fertőzött valamilyen vírussal, többnyire egy trójaival, amely a hátsó kapu megnyitásával lehetővé teszi a további manipulációkat.
A Microsoft egyelőre nem reagált a hírre, ám a Symantec azt sietett leszögezni, hogy maga a Windows Update nincs veszélyben. Érvelésük szerint amennyiben a szolgáltatás sebezhető lenne, már rég megjelentek volna az ilyen jellegű megoldások.