【IT168 专稿】赛门铁克安全专家表示，黑客正在利用Windows更新服务所使用的文件传输组件来骗过防火墙而悄悄安装恶意软件。

    后台智能传输服务（BITS）被微软的操作系统用来通过Windows更新服务传送补丁。后台智能传输服务最初在Windows XP中实现，后来又被复制移植到Windows Server 2003和Windows Vista中，它是一项可以实现自动运行的文件传输服务，因此下载任务不影响其他网络事务。它可以实现网络中断后的自动续传。

    Symentec安全响应团队研究员Elia Florio在公司的博客中表示，“这是一个非常有效的组件，可以支持HTTP并通过COM API进行编程，是Windows下载任何东西的非常好的工具。但很不幸的是，这也包括恶意软件。BITS操作系统的一部分，被所有本地防火墙所信任，可以绕过它们下载任何东西。”

    Florio表示，这也是为什么某些恶意软件制作者开始想借助于后台智能传输服务，来下载插件代码到一个已经被攻击的计算机上。“理由很简单：后台智能传输服务是操作系统的一部分，因此可以被所有本地防火墙所信任，可以绕过它们下载任何东西。”

    恶意软件，尤其是木马程序，通常是首先在系统上打开或寻找一个后门来继续其他攻击行为，这需要绕过防火墙的拦截来安装另外的恶意软件到计算机，例如键盘记录器。Florio表示，“但是最常见的方法通常是插入式的入侵过程，而这可能会引起防火墙的警告提示。”

    “而这次黑客的手法很新奇，”赛门铁克安全响应团队的主管Oliver Friedrichs表示。“攻击者正在利用操作系统本身的一个组件来更新他们的内容。但是这种绕过防火墙的思想并非新发明的。”

    Friedrichs补充说，最早在去年年底的俄罗斯黑客论坛上发现了讨论这种入侵方式的帖子，而今年三月的一个木马程序是首个将这种思想投入实践的恶意软件。

    “后台传输服务给给黑客带来的最大的好处，是让他们可以绕过防火墙，”Friedrichs表示，“自动传输服务也是一个更可靠的下载机制，它是完全免费而且可靠的，而且黑客不用编写自己的下载程序代码。”

    Friendrichs强调，尽管黑客可以劫持后台传输服务来实现自己的攻击目的，但该服务本身并没有问题。他表示，“没有证据可以证明Windows更新服务可以被劫持。但是有一点已经确认无疑，黑客利用这些组件已经成为一种趋势，黑客的工作正在向传统的软件开发行业学习，形成自己的开发模式。”

    Florio表示，现在没有方法来阻挡黑客利用后台自动传输服务。他表示，“检查后台自动传输服务应该下载和不应该下载哪些内容，这不是一件容易的事情。”而且他向微软提出了一些改进的建议，“或者自动传输服务的界面应该设计成只有具备高优先级权限才可以访问，或者自动传输服务所创建的下载任务应该被限制成只从可以信赖的网址下载。”

    微软目前还没有对未经授权的后台传输服务使用问题做出任何解释。