Служба фоновой интеллектуальной передачи данных (BITS) применяется в Windows для того, чтобы загружать обновления безопасности. Киберпреступники пользуются данным сервисом, чтобы скрывать свое присутствие в системе.
Опасная вредоносная программа Zlob.Q, пользующаяся BITS для связи с командным сервером, была выявлена экспертами Dell SecureWorks. В ходе расследования инцидента безопасности, произошедшего в высшем учебном заведении, специалисты зафиксировали подозрительную активность со стороны BITS уже после того, как система была очищена от вредоносной программы. В журнале событий генерировались записи о запланированных задачах. Сами задачи нигде не отображались.
При более подробном анализе выяснилось, что задачи создавались в базе данных BITS. Даже после того, как вредоносная программа была успешно удалена, на системе по расписанию запускалась задача. В рамках данного сценария на C&C-сервер отправлялся запрос, осуществлялась загрузка вредоносной программы и ее установка на систему. После выполнения этих действий задача автоматически удалялась. Так киберпреступникам удавалось постоянно обеспечивать присутствие вредоносной программы даже после очистки системы с применением антивирусного ПО.
Эксперты советуют пользователям, которые фиксируют подозрительную активность сервиса BITS, проводить проверку задач по расписанию внутри базы данных.