如果您是一位Windows的用戶，就需要注意到微軟網(wǎng)站上看一下，您就會(huì)發(fā)現(xiàn)評(píng)述一個(gè)稱為Win32/Jowspry的惡意程序的報(bào)告。這個(gè)惡意程序利用了Windows的自動(dòng)更新服務(wù)將文件下載到用戶的計(jì)算機(jī)上，對用戶的計(jì)算機(jī)系統(tǒng)大肆進(jìn)行破壞。當(dāng)然，你可能會(huì)想到，一個(gè)理智的做法是停止使用Windows的更新服務(wù)，這可以防止惡意軟件的安裝。雖然“防守是最好的攻擊。”但如何保障一臺(tái)Windows計(jì)算機(jī)在更新時(shí)免受新的安全威脅呢？

任何問題總有解決的辦法。我們知道，計(jì)算機(jī)系統(tǒng)要與Windows的更新站點(diǎn)進(jìn)行交互，就必須使用后臺(tái)智能傳輸服務(wù)，即所謂的BITS。BITS利用用戶系統(tǒng)未用的帶寬來下載補(bǔ)丁和更新文檔。它還使得Windows服務(wù)器更新服務(wù)、系統(tǒng)管理服務(wù)器以及微軟的即時(shí)通信產(chǎn)品的文件傳輸更加容易。在許多系統(tǒng)中包含BITS功能，如Windows XP Service Pack 1、Windows 2000 Service Pack 3以及現(xiàn)在最新的Windows操作系統(tǒng)。

我們發(fā)現(xiàn)，作為當(dāng)前操作系統(tǒng)（如Windows XP和Windows Vista等）一部分的Windows防火墻允許BITS發(fā)送和接收來自互聯(lián)網(wǎng)的數(shù)據(jù)，卻不會(huì)激發(fā)任何警告。很顯明，通過劫持這種服務(wù)，在試圖利用Windows漏洞時(shí)，惡意軟件的作者能夠快速地繞過其主要的障礙。繞過防火墻的過濾器能夠在無需警告用戶的情況下實(shí)現(xiàn)惡意文件的安裝。即使用戶采用了基于網(wǎng)絡(luò)的防火墻，并盡力區(qū)分BITS可以下載的數(shù)據(jù)和絕對不能下載的數(shù)據(jù)。BITS活動(dòng)的低帶寬消耗和異步傳輸特性也會(huì)使得防火墻難于檢測任何惡意活動(dòng)。

事實(shí)上，這種攻擊并不是由Windows更新的缺陷引起的。任何攻擊者都沒有也不可能將惡意文件上傳到微軟的網(wǎng)站上用于BITS下載。要讓攻擊工作，用戶必須先下載Win32/Jowspry并執(zhí)行它。也只有這樣這種特洛伊木馬程序才能BITS安裝額外的惡意軟件。想要惡意地使用BITS，特洛伊木馬程序需要存在于用戶計(jì)算機(jī)上。BITS并非最初感染的攻擊源。一旦將自身安裝到計(jì)算機(jī)上，惡意軟件就用這樣一種機(jī)制繞過防火墻技術(shù)。

我們權(quán)且將這種攻擊稱之為Windows更新攻擊，迎戰(zhàn)這種攻擊的最佳方法在于在公司的用戶中增強(qiáng)防范意識(shí)，教育他們?nèi)绾翁幚韥碜晕粗蛞馔獾脑凑军c(diǎn)的信息（包括鏈接和文檔、程序等）。這就會(huì)減少用戶下載Jowspry或其它能夠感染計(jì)算機(jī)的惡意程序的機(jī)會(huì)。一些安全專家建議將BITS限制為只能給經(jīng)核準(zhǔn)的或可信任的站點(diǎn)或鏈接。然而，許多第三方的軟件廠商用它來發(fā)布軟件更新，這種限制就會(huì)引起不少麻煩，你需要仔細(xì)維護(hù)經(jīng)認(rèn)可的站點(diǎn)，需要籌劃該將哪些站點(diǎn)列入優(yōu)良者名單。

雖然這種攻擊只不過是眾多攻擊中的小菜一碟，不過卻向我們展示了各種攻擊日益增加的復(fù)雜性和驚人的發(fā)展速度，并可以幫助我們深入理解Windows操作系統(tǒng)本身。