Windows, da XP in poi (sebbene sia stato integrato poi anche in Windows 2000 Service Pack 3) include una simpaticissima nuova funzionalità. BITS – che sta per Background Intelligent Transfer Service – è un componente di Windows adibito al trasferimento di files tra pc. È un componente molto interessante ed utile, permette il download asincrono di file da internet sfruttando la banda di internet non utilizzata, in modo tale da non intaccare le prestazioni della connessione.

Una sorta di download manager integrato in Windows – tant’è che esistono programmi appositi quali BITS Download Manager per sfruttarne le funzionalità. Una componente simpatica, presente appunto in Windows 2000,XP,2003,Vista ed utilizzata da Windows, tra le varie cose, per gli aggiornamenti automatici di Windows Update.

Un componente molto interessante insomma, se non fosse che può essere allo stesso tempo fonte di danno, come ha messo in evidenza il sempre ottimo ricercatore italiano del SARC (Symantec Antivirus Research Center) Elia Florio.

Infatti il BITS è un componente di Windows, come tale viene considerato attendibile dai firewall (svchost.exe è l’hoster generico che viene utilizzato per caricare diversi servizi, tra cui BITS). Se a questo ci aggiungiamo che è programmabile da chiunque, il danno è bello che fatto. Infatti, è possibile utilizzare BITS attraverso due metodi: programmandolo attraverso un set di API messe a disposizione ai programmatori o attraverso l’interfaccia bitsadmin.exe.

Di fatto qualunque download effettuato attraverso questo servizio, che diventa quasi un vero e proprio proxy, è incontrollato. Potrebbe un trojan downloader dunque utilizzare questo mezzo per scaricare dell’altro malware? È successo.

Sarebbe comunque un errore definirlo un bug, perché si tratta di una funzionalità di Windows. Il fatto è che al momento non ci sono mezzi per controllarne il funzionamento. Le uniche soluzioni potrebbero essere:

  • disabilitare il BITS e Windows Update (un malware potrebbe comunque riabilitare i servizi)
  • restringere le connessioni di svchost.exe a internet ai soli IP della Microsoft
  • Comunque sia, di questo argomento se ne parla già da quasi un anno, sebbene non sia mai stato troppo di pubblico interesse. Ora però, con del malware che utilizza questa funzionalità bypassando di fatto i firewall, il vaso di pandora è stato aperto.

    Un tool per verificare il funzionamento di BITS e per verificare come un programma riesce a bypassare il firewall attraverso BITS è scaricabile QUI. Bitscode è un programma scritto dal ricercatore Frank Boldewin.