Trojan zakłóca bazujące na chmurze skanery

Rozpowszechniony głównie w Chinach trojan Bohu oszukuje programy antywirusowe, które do oceny zagrożenia danego pliku wykorzystują dane z serwera w chmurze. Informuje o tym Malware Protection Center Microsoftu. Bohu stosuje przy tym różne sposoby, aby uniknąć wykrycia.

Według relacji "szkodnik" dołącza do własnych plików przypadkowe dane, aby w ten sposób uniknąć rozpoznania na podstawie wartości funkcji skrótu. Skanery chmurowe przekazują jednoznaczną wartość hash do serwera, aby ustalić, czy są już dostępne informacje opisujące dany zbiór. Jednak przypadkowe dane wprowadzają w rezultacie nową wartość funkcji skrótu, w związku z czym zwykle plik na serwerze zostaje rozpoznany jako dotychczas nieznany.

Oprócz tego Bohu usiłuje zakłócać strumień danych między skanerem a chmurą. W tym celu za pośrednictwem Windows Sockets Service Provider Interface (Winsock SPI) instaluje on filtr oraz sterownik NDIS, który według Microsoftu poszukuje w strumieniach danych sieciowych albo w wywołaniach HTTP określonych słów kluczowych i adresów serwerów, a w razie trafienia blokuje wysyłanie danych do serwera.

Wszystko wskazuje jednak na to, że Bohu próbuje również zakłócać połączenia nawiązywane przez skanery chmurowe popularnych chińskich producentów Kingsoft, Rising i Qihoo. Trojan dostaje się na komputer, udając kodek wideo, i instaluje na nim kolejne pliki. Jednak z informacji Microsoftu ani też z innych opisów tego "szkodnika" nie można wywnioskować, czy oprócz funkcji blokowania ma on także funkcje szpiegowskie.

Reklama

HeiseOnline
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy