Bohu木馬試圖阻礙殺毒產品中的云安全技術
該惡意軟件最早由微軟研究人員在我國發現,該惡意軟件企圖攻擊我國主流殺毒產品。根據微軟研究人員表示,該木馬通常都會偽裝成視頻播放器來誘使用戶下載。一旦在計算機上安裝,該惡意軟件就會攔截和阻止發送到殺毒網站的流量,包括rsup10.rising.com.cn 和down.360safe.com,賽門鐵克公司發現。
Bohu木馬企圖阻礙殺毒產品中云安全技術
“基于云計算的病毒檢測通常是通過客戶端發送重要威脅數據到服務器來進行后端分析,并隨后進行進一步檢測和清除指令,”微軟研究人員表示,“這個過程可能需要幾秒鐘到幾分鐘,并且移除惡意軟件的方式并不是通過傳統的隨取隨用簽名方法。”Bohu試圖切斷云客戶端和服務器間的通信,并且立即修改 內容,為了躲避云查殺的掃描。
在感染系統后,該木馬會創建并安裝大量文件。它還會安裝一個網絡驅動程序接口規范(NDIS)過濾器,修改注冊表,并向關鍵有效載荷組件的末端寫入隨機垃圾數據來躲避云計算殺毒技術使用的哈希檢測。
據微軟稱,Bohu木馬程序通過Windows Socket服務供應商界面(SPI)過濾器來阻礙到殺毒云服務器的訪問,該過濾器能夠阻止云安全客戶端和服務器間的網絡流量。
“NDIS驅動器的目的是為了阻止殺毒軟件客戶端通過在IP地址數據表中查詢服務器的地址來上載數據到服務器,”微軟研究人員表示,“該驅動器會探測數據流,并找到HTTP請求關鍵字以及一些主流殺毒供應商(例如瑞星、奇虎等)的云服務器名稱,我們已經聯系了這些相關供應商關于這個惡意軟件威脅問題。”
此外,Bohu還會修改搜狗的搜索結果,并且刪除cookies,百度和谷歌同樣如此。
該惡意軟件阻止流量的站點中還包括geo.kaspersky.com,根據Kaspersky實驗室高級惡意軟件研究人員Kurt Baumgartner表示,該木馬程序使用的某些技術是很舊的,差不多有十多年歷史了。簡單地用垃圾數據覆蓋數據并不是新方法,他表示,該木馬程序的行為讓它更容易被客戶端行為保護技術所檢測。
“結合另外兩種技術,很顯然,他們是專門針對一些較新的基于云計算的技術,”他補充說,“其他兩種方法比較難解決,修改NDIS來阻止該惡意軟件切斷云連接并不是容易事,但是這肯定不是第一次惡意軟件試圖阻止保護技術對互聯網的訪問。”
【編輯推薦】
