Novo Trojan Ataca Programas Anti-Vírus

Através do Malware Protection Center da Microsoft, vem a informação de que o trojan Win32/Bohu (TrojanDropper:Win32/Bohu.A), cujo desenvolvimento foi feito na China, foi criado especificamente para desabilitar as defesas de programas antivírus com bases em computação de nuvem. Bohu utiliza uma série de técnicas para evitar a sua detecção. Segundo o relatório apresentado, o trojan acrescenta dados aleatórios para seus próprios arquivos, a fim de impedir a detecção baseada em hash.

Além disso, Bohu também tenta bloquear o tráfego de dados entre o software anti-vírus e a nuvem. Isto é feito através da instalação do Windows Sockets Service Provider Interface ( Winsock SPI ) e um driver NDIS que, segundo a Microsoft, bloqueia o tráfego na rede e as solicitações HTTP que contenham palavras-chave específicas e endereços enviados para o servidor.

Nos dias atuais, Bohu aparentemente, bloqueia apenas conexões de soluções populares baseadas em nuvem, relativo aos produtos das empresas de segurança chinesas como é o caso da Kingsoft, Rising e Qihoo. O trojan infecta computadores, disfarçando-se de um codec de vídeo e uma vez que esteja instalado, aplica um filtro que bloqueia o tráfego entre as máquinas infectadas e o provedor de serviços. Não está claro a partir do relatório apresentado pela Microsoft e sua descrição referente ao malware, se além de bloquear o acesso à nuvem, Bohu realmente rouba dados ou executa alguma outra função nefasta.


Saiba Mais:

[1] Technet Blog: http://blogs.technet.com/b/mmpc/arch...the-cloud.aspx