Служба фоновой интеллектуальной передачи данных (Background Intelligent Transfer Service – BITS) используется в ОС Windows для загрузки обновлений безопасности. Именно это свойство службы злоумышленники используют для сокрытия своего присутствия на скомпрометированной системе примерно с 2007 г.
Исследователи из компании Dell SecureWorks обнаружили опасное вредоносное ПО Zlob.Q (по классификации Symantec), использующее службу фоновой передачи данных Microsoft для связи с C&C-сервером. Во время расследования инцидента безопасности в одном из высших учебных заведений специалисты обнаружили подозрительную активность со стороны BITS после очистки системы от вредоносного ПО. В журнале событий появлялись записи о запланированных задачах, однако эти задачи не были нигде видны.
Более детальное расследование показало, что задачи были созданы в базе данных BITS. Даже после успешного удаления вредоноса на системе запускалась задача по расписанию. Запускаемый ею сценарий обращался к C&C-серверу, загружал на систему вредонос, производил его установку и удалял себя по окончании всего процесса. Таким образом злоумышленники обеспечивали постоянное присутствие вредоносного ПО на системе даже после ее очистки с помощью антивируса. Исследователи рекомендуют пользователям, наблюдающим подозрительную активность со стороны BITS-службы, проверить задачи по расписанию внутри базы данных BITS. Это можно сделать с помощью PowerShell сценария или команды: bitsadmin /list /allusers /verbose (Новости/NovostIT)