Da un po’ di tempo sta girando su internet un malware identificato con il nome Win32/Jowspry. Si tratta di un Trojan che infetta alcuni file DLL contenuti nella cartella system32 di Windows.
Questo Trojan sfrutta il sistema BITS (Background Intelligent Transfer Service), per infettare il PC. Tale sistema è integrato nei sistemi operativi Windows XP e Vista ed è responsabile di Windows Update, ovvero degli aggiornamenti.
Il sistema BITS viene caricato in memoria da svchost.exe (file eseguibile sempre presente nella RAM); poiché svchost.exe è attendibile sia per i firewall che per gli antivirus, quando il Trojan sfrutta il sistema BITS, esso non viene rilevato.
Inoltre, il vero pericolo di questo malware è che quando infetta un PC, apre una “porta” per fare entrare altro codice maligno. Infatti, attraverso il protocollo HTTP, esso si connette ad alcuni server per scaricare altri file maligni (spyware, virus, worms, ecc.)
Il rimedio migliore sarebbe la revisione e la riscrittura del codice sorgente dei due sistemi operativi di casa Microsoft, cosa che credo non avverrà mai, vista l’importanza del sistema BITS. Per questo consiglio di tenere in costante aggiornamento i Software di sicurezza, non aprire file allegati a e-mail sospette e usare un buon sistema HIPS, capace di individuare potenziali minacce prima che esse siano state catalogate nei database degli antivirus.
