Les cybercriminels utilisent de façon détournée le système de transfert de fichiers pour les mises à jour de Microsoft afin d'éviter les filtres des pare-feu.
Les cybercriminels utilisent de façon détournée le système de transfert de fichiers pour les mises à jour de Microsoft afin d'éviter les filtres des pare-feu.
Frank Boldewin, un expert en sécurité, a récemment rapporté sur son blogue qu'un cheval de Troie qui circule par courriel utilise le programme BITS (Background Intelligent Transfer Service) de Mirosoft pour télécharger du code sur un poste déjà infecté.
Le programme BITS est utilisé par les systèmes d'exploitation de Microsoft pour envoyer correctement les correctifs à ses clients.
Ce système a fait ses premiers pas avec Windows XP, il est également présent dans Windows Serveur 2003 et Windows Vista.
Il s'agit d'un système de transfert de fichiers asynchrone. Les utilisateurs téléchargent les uns après les autres et si la connexion est coupée, ce système reprend le téléchargement de façon automatique.
La découverte a été confirmée par la firme de sécurité Symantec.
«Ils font cela pour une raison simple: BITS fait partie intégrante du système d'exploitation. Il est donc considéré comme fiable par le pare-feu qui le laisse agir à sa guise», dit Elia Florio, chercheure pour Symantec.
Les logiciels malveillants, en particulier les Trojans, commencent par ouvrir une porte dérobée sur le PC cible de façon à pouvoir y injecter du code ou un enregistreur de frappe.
Pour cela, le cheval de Troie doit être en mesure de contourner le pare-feu. Généralement, les méthodes utilisées par ces logiciels espions sont brutales et elles provoquent des alarmes.
Puisque le poste doit déjà être infecté pour que le système imaginé par les pirates fonctionne, les experts en sécurité rappellent qu'il ne faut pas cliquer sur un lien ou ouvrir un fichier considéré suspect.
Ils recommandent également l'installation d'un logiciel antivirus.