セキュリティ企業Dell SecureWorksは米国時間6月6日、マルウェアを削除したにもかかわらず、再び感染するという事象で、「Microsoft Windows」のバックグラウンドインテリジェント転送サービス（BITS）の通知機能が悪用されていると発表した。

BITSはクライアントとサーバの間でのデータ転送に用いられるユーティリティだ。このユーティリティによって、クライアントへのファイルのダウンロードや、サーバへのアップロード、データ転送中におけるサーバとサーバアプリ間の通信を制御することが可能になる。

同社のCounter Threat Unit（CTU）リサーチチームによると、このユーティリティは「Windows Update」をはじめとするさまざまなアプリケーションで活用されているものの、サイバー犯罪者によって悪用されてもおり、マルウェアがシステムから除去された後で、マルウェアのダウンロードや再感染を引き起こすための仕掛けとして利用されているという。

BITSシステムのあまり知られていない機能が悪用されていると同チームはブログで述べている。ジョブの完了をユーザーに知らせる「通知機能」が悪用され、「ダウンロード後に実行される自己完結型のBITSタスクを生成し、そのタスクはもともとのマルウェアがシステムから削除された後にも残り続ける」という。

同チームは、BITSは何年も前から悪用されてきていると述べている。このサービスにより、ホストシステムのファイアウォールが信頼しているアプリを用いて、ファイルをアップロード、すなわち盗み取れるようになる。転送処理に割り込みが入った場合でも処理を再開可能で、マルウェア感染を持続させるタスクの生成と起動も可能となる。

同チームは3月に、あるシステムの調査依頼を受けた。マルウェアに感染していないにもかかわらず、「怪しいネットワーク活動」に関するセキュリティ通知が送られてくるというのだ。

その調査で、該当システムは過去に、「Zlob.Q」という名称のDNSChangerに感染しており、その際に一定の間隔で該当マルウェアを再びダウンロードするという悪質なエントリがBITSサービスに追加されていたと判明した。BITSは信頼されたサービスであるため、インストールされていたウイルス対策ソフトウェアはその活動を悪意あるものとして検出できなかったのだ。

同チームによると「BITSの悪質なエントリは、ペイロードのダウンロード後にインストールとクリーンアップを行うスクリプトを生成するものであり、すべてはBITSのジョブデータベース内で自己完結しており、ホスト上での検出を可能にするようなファイルやレジストリへの改変は見られなった」という。

SecureWorksは、BITSのログエントリを精査して得られた、マルウェアをホストしているドメインの一覧を公開するとともに、こういった悪質なドメインに対するアクセス制限を設定し、可能な限りブロックするための対策を施すことを推奨している。