La aparición de un nuevo troyano llamado Bohu desafía a los antivirus cloud, ya que cuenta con la capacidad de esconderse del sistema de detección de estos programas de protección que se encuentran en la nube.
Lo peligroso de este troyano, es que comienza un proceso de deshabilitación del antivirus que opera en la nube con la finalidad de instalar otro malware en el equipo infectado e incluso, es capaz de bloquear las páginas de seguridad de los software de protección para impedir las actualizaciones de los sistemas de protección.
Bohu ha sido detectado en Taiwán por parte del equipo de seguridad Chino de Microsoft. Los investigadores han descrito que el troyano se hace pasar por un reproductor de video de alta definición, o como un falso codec de video para poder ser instalado en el PC, y utiliza tres estrategias determinantes para dejar fuera de combate a los antivirus:
• Altera el hash que envía el antivirus cloud a sus servidores, añadiendo bites de más para burlar el análisis que se hace directamente en el servidor.
• Instala controladores NDIS, para bloquear las comunicaciones con el servidor del antivirus.
• Instala su propia interfaz de proveedor de servicio, para bloquear el tráfico entre el cliente y el servidor del antivirus en la nube.
Con estas estrategias han logrado burlar diferentes antivirus cloud Chinos, pero no se descarta que las técnicas puedan extenderse para bloquear antivirus cloud occidentales estables.
Los investigadores de Microsoft recomiendan las siguientes acciones para evitar la propagación de este troyano:
• Activar un buen Firewall.
• Mantener el sistema operativo actualizado.
• Mantener el antivirus actualizado y la protección en tiempo real.
• Evitar los enlaces web y los archivos adjuntos dudosos.
• Evitar dar información por la web.
• Utilizar contraseñas fuertes.
Comentarios
Publicar un comentario