Trojan bypasses cloud-based anti-virus
21 January 2011, 16:31
Theo: http://www.h-online.com/security/news/item/Trojan-bypasses-cloud-based-anti-virus-1173385.html
Bài được đưa lên Internet ngày: 21/01/2011
Lời người dịch: Bohu, một phần mềm độc hại chỉ chạy được với Windows thông qua giao thức Winsock SPI, hiện chủ yếu có tại Trung Quốc, được cho là có khả năng vượt qua được các giải pháp chống virus và gây rủi ro cho các tệp thông qua việc đưa yêu cầu tới máy chủ trong đám mây. Còn chưa rõ nó có khả năng khóa không cho truy cập vào đám mây hay không.
Trung tâm Bảo vệ chống Phần mềm độc hại của Microsoft đang nói rằng Bohu, một Trojan chủ yếu có ở Trung Quốc, có khả năng vượt qua được các giải pháp chống virus mà chúng ước tính rủi ro cho các tệp bằng việc đưa yêu cầu tới một máy chủ trong đám mây. Bohu sử dụng một số kỹ thuật để tránh sự dò tìm ra.
Theo báo cáo, Bohu nối thêm vào một cách ngẫu nhiên các dữ liệu tới các tệp riêng của nó để phá ngang sự dò tìm ra dựa vào hàm băm. Các trình quét đám mây gửi một hàm băm tệp tới máy chủ của đám mây để xác định liệu thông tin có sẵn sàng cho một tệp nào đó được đưa ra hay không. Dữ liệu ngẫu nhiên này tạo ra một hàm băm mới được hình thành mà máy chủ không nhận biết được.
Bohu cũng dự định khóa các giao thông của các dữ liệu giữa phần mềm chống virus và đám mây. Nó làm vậy bằng việc cài đặt một bộ lọc thông qua Giao diện Nhà cung cấp Dịch vụ của Windows Sockets (Winsock SPI) và một trình điều khiển của NDIS mà, theo Microsoft, sẽ khóa giao thông mạng và các yêu cầu HTTP có chứa các từ khóa đặc biệt và các địa chỉ của máy chủ không cho tải lên được máy chủ.
Hiện hành, Bohu hình như chỉ cố gắng khóa các kết nối tới các giải pháp đám mây từ các nhà cung cấp của Trung Quốc như Kingsoft, Rising và Qihoo. Bohu gây lây nhiễm cho các máy tính bằng việc tự nó ẩn mình như một video codec khi nó cài đặt các tệp bổ sung vào đó. Còn chưa rõ báo cáo của Microsoft và mô tả của nó về phần mềm độc hại này có khóa không cho truy cập vào đám mây hay không. Bohu thực sự, ví dụ, ăn cắp các dữ liệu hoặc thực hiện một số chức năng bất chính khác.
Microsoft's Malware Protection Center is reporting that Bohu, a trojan largely confined to China, is able to bypass anti-virus solutions which assess the risk posed by files by querying a server in the cloud. Bohu uses a number of techniques to avoid detection.
According to the report, Bohu appends random data to its own files in order to thwart hash-based detection. Cloud scanners send a file's hash to the cloud server to determine whether information is available for a given file. The random data results in a new hash being generated which the server does not recognise.
Bohu also attempts to block data traffic between anti-virus software and the cloud. It does so by installing a filter via the Windows Sockets Service Provider Interface (Winsock SPI) and an NDIS driver which, according to Microsoft, blocks network traffic and HTTP requests containing specific keywords and server addresses from being uploaded to the server.
Currently, Bohu apparently only tries to block connections to cloud solutions from popular Chinese vendors Kingsoft, Rising and Qihoo. Bohu infects computers by disguising itself as a video codec and once there installs additional files. It's not clear from Microsoft's report and its description of the malware what, apart from blocking cloud access, Bohu actually does, whether, for example, it steals data or performs some other nefarious function.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.