米Symantec は同社が運営するblog「Symantec Security Response Weblog」において、感染後の動作としてパーソナルファイアウォールを迂回するマルウェアが発見されたと報告した。具体的には、Windows Updateのコンポーネントを利用してファイアウォールの迂回が行われるという。

Symantecによると、OSに追加された機能は、これまでもマルウェアに利用されているという。たとえば代替データストリーム(ADS: Alternate Data Streams)や暗号化ファイルシステム(EFS: Encrypted File System)といったWindowsに追加された機能は、Backdoor.RustockやTrojan.Linkoptimizerなどのマルウェアに悪用された報告がある。

そして今年3月末に、ドイツでスパムメールに添付してバラまかれた特定のトロイの木馬(同社製ウイルス対策ソフトではDownloaderとして検知する)には、Windows Updateなどで使用されるサービスであるBackground Intelligent Transfer Service (BITS)を使用してファイルをダウンロードする機能が実装されていたのだという。

BITSはOSの一部であるため、通常、このコンポーネントを使用した通信はパーソナルファイアウォールでは検知されない。同社はこのような悪用を防ぐために、BITSを使用して接続可能なURLはあらかじめ制限しておくべきだとし、またこの手法は昨年末、ロシアの電子フォーラムで"antifirewall loader"として紹介されてたものであることを明らかにしている。

パーソナルファイアウォールを迂回するマルウェアの逆アセンブルコード (出典: Symantec Security Response Weblog)