Bohu木馬試圖阻礙殺毒產(chǎn)品中的云安全技術(shù)
該惡意軟件最早由微軟研究人員在我國發(fā)現(xiàn),該惡意軟件企圖攻擊我國主流殺毒產(chǎn)品。根據(jù)微軟研究人員表示,該木馬通常都會偽裝成視頻播放器來誘使用戶下載。一旦在計算機上安裝,該惡意軟件就會攔截和阻止發(fā)送到殺毒網(wǎng)站的流量,包括rsup10.rising.com.cn 和down.360safe.com,賽門鐵克公司發(fā)現(xiàn)。
Bohu木馬企圖阻礙殺毒產(chǎn)品中云安全技術(shù)
“基于云計算的病毒檢測通常是通過客戶端發(fā)送重要威脅數(shù)據(jù)到服務(wù)器來進行后端分析,并隨后進行進一步檢測和清除指令,”微軟研究人員表示,“這個過程可能需要幾秒鐘到幾分鐘,并且移除惡意軟件的方式并不是通過傳統(tǒng)的隨取隨用簽名方法。”Bohu試圖切斷云客戶端和服務(wù)器間的通信,并且立即修改 內(nèi)容,為了躲避云查殺的掃描。
在感染系統(tǒng)后,該木馬會創(chuàng)建并安裝大量文件。它還會安裝一個網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范(NDIS)過濾器,修改注冊表,并向關(guān)鍵有效載荷組件的末端寫入隨機垃圾數(shù)據(jù)來躲避云計算殺毒技術(shù)使用的哈希檢測。
據(jù)微軟稱,Bohu木馬程序通過Windows Socket服務(wù)供應(yīng)商界面(SPI)過濾器來阻礙到殺毒云服務(wù)器的訪問,該過濾器能夠阻止云安全客戶端和服務(wù)器間的網(wǎng)絡(luò)流量。
“NDIS驅(qū)動器的目的是為了阻止殺毒軟件客戶端通過在IP地址數(shù)據(jù)表中查詢服務(wù)器的地址來上載數(shù)據(jù)到服務(wù)器,”微軟研究人員表示,“該驅(qū)動器會探測數(shù)據(jù)流,并找到HTTP請求關(guān)鍵字以及一些主流殺毒供應(yīng)商(例如瑞星、奇虎等)的云服務(wù)器名稱,我們已經(jīng)聯(lián)系了這些相關(guān)供應(yīng)商關(guān)于這個惡意軟件威脅問題。”
此外,Bohu還會修改搜狗的搜索結(jié)果,并且刪除cookies,百度和谷歌同樣如此。
該惡意軟件阻止流量的站點中還包括geo.kaspersky.com,根據(jù)Kaspersky實驗室高級惡意軟件研究人員Kurt Baumgartner表示,該木馬程序使用的某些技術(shù)是很舊的,差不多有十多年歷史了。簡單地用垃圾數(shù)據(jù)覆蓋數(shù)據(jù)并不是新方法,他表示,該木馬程序的行為讓它更容易被客戶端行為保護技術(shù)所檢測。
“結(jié)合另外兩種技術(shù),很顯然,他們是專門針對一些較新的基于云計算的技術(shù),”他補充說,“其他兩種方法比較難解決,修改NDIS來阻止該惡意軟件切斷云連接并不是容易事,但是這肯定不是第一次惡意軟件試圖阻止保護技術(shù)對互聯(lián)網(wǎng)的訪問。”
【編輯推薦】
