El módulo de Windows Update es el encargado de actualizar el sistema operativo, conforme sean publicadas las actualizaciones de seguridad correspondientes. Con este fin utiliza un componente denominado BITS.

El propósito de BITS (Background Intelligent Transfer Service) es la transferencia de archivos entre cliente y servidor utilizando el excedente del ancho de banda. Además de proveer información relevante al progreso del trabajo. Varias aplicaciones de Microsoft aprovechan este componente para la transferencia de ficheros.

Algun malware cuando ha infectado la máquina debe salir a Internet para realizar otras de sus funciones (reportarse, descargar nuevos troyanos, enviarse por correo, etc.). Para que pueda hacer esto debe traspasar el cortafuego activo en el sistema. Sus creadores suelen usar varias tácticas para deshabilitar el cortafuego o inyectarse en otras aplicaciones que sí tienen permisos para salir libremente a la red. A veces estos procedimientos pueden disparar las alarmas, alertando al usuario de un comportamiento extraño en el ordenador.

Esta nueva amenaza no utiliza ninguno de esos métodos. Directamente accede al servicio que brinda el BITS y comienza sus operaciones. El cortafuego no solicita el permiso al usuario para la transferencia debido a que es Windows el que pide la autorización y no una aplicación desconocida.

BITS no restringe su uso a terceros, esto permite que cualquiera pueda usufructuar sus servicios, tanto otros programas como los malwares. El actual problema que surge aquí, no es considerado un fallo o una vulnerabilidad, directamente recae en un error de diseño.

Hasta que el mismo sea corregido, o en su defecto sea deshabilitado el Windows Update, comprometerá seriamente la seguridad del sistema.

NOD32 detecta esta amenaza como Win32/Kardphisher.

Se recomienda no abrir archivos, ni seguir enlaces no solicitados que lleguen por correo electrónico.