該惡意軟件最早由微軟研究人員在我國(guó)發(fā)現(xiàn)，該惡意軟件企圖攻擊我國(guó)主流殺毒產(chǎn)品。根據(jù)微軟研究人員表示，該木馬通常都會(huì)偽裝成視頻播放器來(lái)誘使用戶下載。一旦在計(jì)算機(jī)上安裝，該惡意軟件就會(huì)攔截和阻止發(fā)送到殺毒網(wǎng)站的流量，包括rsup10.rising.com.cn 和down.360safe.com，賽門鐵克公司發(fā)現(xiàn)。

Bohu木馬企圖阻礙殺毒產(chǎn)品中云安全技術(shù)

“基于云計(jì)算的病毒檢測(cè)通常是通過(guò)客戶端發(fā)送重要威脅數(shù)據(jù)到服務(wù)器來(lái)進(jìn)行后端分析，并隨后進(jìn)行進(jìn)一步檢測(cè)和清除指令，”微軟研究人員表示，“這個(gè)過(guò)程可能需要幾秒鐘到幾分鐘，并且移除惡意軟件的方式并不是通過(guò)傳統(tǒng)的隨取隨用簽名方法。”Bohu試圖切斷云客戶端和服務(wù)器間的通信，并且立即修改 內(nèi)容，為了躲避云查殺的掃描。

在感染系統(tǒng)后，該木馬會(huì)創(chuàng)建并安裝大量文件。它還會(huì)安裝一個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)程序接口規(guī)范(NDIS)過(guò)濾器，修改注冊(cè)表，并向關(guān)鍵有效載荷組件的末端寫入隨機(jī)垃圾數(shù)據(jù)來(lái)躲避云計(jì)算殺毒技術(shù)使用的哈希檢測(cè)。

據(jù)微軟稱，Bohu木馬程序通過(guò)Windows Socket服務(wù)供應(yīng)商界面(SPI)過(guò)濾器來(lái)阻礙到殺毒云服務(wù)器的訪問(wèn)，該過(guò)濾器能夠阻止云安全客戶端和服務(wù)器間的網(wǎng)絡(luò)流量。

“NDIS驅(qū)動(dòng)器的目的是為了阻止殺毒軟件客戶端通過(guò)在IP地址數(shù)據(jù)表中查詢服務(wù)器的地址來(lái)上載數(shù)據(jù)到服務(wù)器，”微軟研究人員表示，“該驅(qū)動(dòng)器會(huì)探測(cè)數(shù)據(jù)流，并找到HTTP請(qǐng)求關(guān)鍵字以及一些主流殺毒供應(yīng)商(例如瑞星、奇虎等)的云服務(wù)器名稱，我們已經(jīng)聯(lián)系了這些相關(guān)供應(yīng)商關(guān)于這個(gè)惡意軟件威脅問(wèn)題。”

此外，Bohu還會(huì)修改搜狗的搜索結(jié)果，并且刪除cookies，百度和谷歌同樣如此。

該惡意軟件阻止流量的站點(diǎn)中還包括geo.kaspersky.com，根據(jù)Kaspersky實(shí)驗(yàn)室高級(jí)惡意軟件研究人員Kurt Baumgartner表示，該木馬程序使用的某些技術(shù)是很舊的，差不多有十多年歷史了。簡(jiǎn)單地用垃圾數(shù)據(jù)覆蓋數(shù)據(jù)并不是新方法，他表示，該木馬程序的行為讓它更容易被客戶端行為保護(hù)技術(shù)所檢測(cè)。

“結(jié)合另外兩種技術(shù)，很顯然，他們是專門針對(duì)一些較新的基于云計(jì)算的技術(shù)，”他補(bǔ)充說(shuō)，“其他兩種方法比較難解決，修改NDIS來(lái)阻止該惡意軟件切斷云連接并不是容易事，但是這肯定不是第一次惡意軟件試圖阻止保護(hù)技術(shù)對(duì)互聯(lián)網(wǎng)的訪問(wèn)。”

【編輯推薦】

1. 四問(wèn)“Web防御與云安全”
2. 殺毒軟件安全建議 對(duì)用戶真安全嗎？
3. 云安全忽視不得 安全就是服務(wù)將增長(zhǎng)？
4. 用四個(gè)云計(jì)算安全案例來(lái)詮釋云安全