{"id":81,"date":"2007-05-19T15:02:23","date_gmt":"2007-05-19T13:02:23","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/81-bits-download-service"},"modified":"2018-05-31T19:29:05","modified_gmt":"2018-05-31T18:29:05","slug":"bits-download-service","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/81-bits-download-service","title":{"rendered":"BITS Download Service"},"content":{"rendered":"<p>Hach ja &#8230; endlich <a href=\"http:\/\/www.symantec.com\/enterprise\/security_response\/weblog\/2007\/05\/malware_update_with_windows_up.html\">hier bei Symantec<\/a> eine universelle L\u00f6sung zur Problematik, Schadcode-Updates an der Personal Firewall vorbeizubringen.<\/p>\n<p>Alle vern\u00fcnftigen Firewalls (die Windows XP Firewall nat\u00fcrlich nicht) filtern auch ausgehenden Datenverkehr und lassen nicht jedes Programm mit dem Internet kommunizieren. Daher hat ein Schadprogramm das Problem, beim Nachladen der Module typischerweise einen Alarm auf der Firewall auszul\u00f6sen. F\u00fcr diese Beschr\u00e4nkung gibt es nun mehrere Standardverfahren:<\/p>\n<ul>\n<li>Starten eines Threads, der st\u00e4ndig &#8222;ok&#8220; an den Firewall-Prozess schickt, so dass ein aufgehendes Fenster automatisch beantwortet wird. Das k\u00f6nnte ein aufmerksamer Benutzer allerdings bemerken.<\/li>\n<li>Shutdown der Firewall, allerdings w\u00fcrde das ein aufmerksamer Benutzer ebenfalls erkennen. Es gibt zwar einen weiteren Trick wie man die Warnung des Windows Security Center deaktiviert, aber das wird dann alles ein wenig aufw\u00e4ndiger.<\/li>\n<li>Die beliebteste Technik ist Code Injection in den Internet Explorer. Das funktioniert ganz ordentlich, diese Browser Helper Objects machen nichts anderes. Die Google Toolbar ist z.B. so etwas.<\/li>\n<\/ul>\n<p>Und jetzt hat also endlich jemand den BITS Dienst von Windows Update entdeckt. Das ist ein Systemdienst, der darf durch die Personal Firewall, das gibt keinen Alarm und es laufen auch keine seltsamen Prozesse im Hintergrund. Sehr elegant.<\/p>\n<p>Ein erster <a href=\"http:\/\/www.reconstructer.org\/code\/bitscode.zip\">PoC<\/a> ist auch schon aufgetaucht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hach ja &#8230; endlich hier bei Symantec eine universelle L\u00f6sung zur Problematik, Schadcode-Updates an der Personal Firewall vorbeizubringen. Alle vern\u00fcnftigen Firewalls (die Windows XP Firewall nat\u00fcrlich nicht) filtern auch ausgehenden Datenverkehr und lassen nicht jedes Programm mit dem Internet kommunizieren. Daher hat ein Schadprogramm das Problem, beim Nachladen der Module typischerweise einen Alarm auf der [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/81"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=81"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/81\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=81"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=81"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=81"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}