En algunas ocasiones, nos hemos encontrado en nuestro sistema con un tipo de troyano con una función muy específica. Su funcionamiento se basa en deshabilitar el antivirus con la finalidad de descargar otro tipo de malware sin ningún impedimento, además podía bloquear el acceso a algunas páginas de fabricantes de seguridad o incluso a Windows Update.
Desde cleanbytes.net, nos informan de una nueva amenaza llamada Bohu. Este troyano ha sido detectado en Taiwán por investigadores chinos de Microsoft, los cuales indican que el troyano infecta al usuario haciéndose pasar por un reproductor de vídeo de alta definición falso o mediante la descarga de un falso códec de vídeo.
El troyano utiliza las siguientes estrategias para no ser detectado por los antivirus en la nube:
-
El cloud antivirus envía al servidor un hash del archivo y espera la respuesta del servidor para determinar si el archivo es malicioso o no. Lo que hace el Bohu, es alterar el archivo hash añadiendo varios bytes inservibles, por lo que el troyano y sus componentes pueden eludir el análisis en el servidor.
-
Mediante la instalación de un controlador NDIS, controla la interfaz de red para detectar y bloquear las comunicaciones con los servidores en la nube. Este proceso lo logra mediante la búsqueda de nombres de servidores, direcciones IP o palabras clave específicas.
-
El troyano también instala su propio SPI (Interfaz del Proveedor de Servicios), para bloquear el tráfico entre el cliente y el servicio del antivirus en la nube.
Hasta ahora, se observaron tres empresas de software de seguridad en la nube afectadas, todas procedentes de China: Kingsoft, Rising, y Qihoo
Desde Microsoft, además de un análisis detallado sobre los registros, procesos y demás características de este troyano, nos recomiendan lo siguiente:
- Habilitar el cortafuegos del sistema.
- Descargar las últimas actualizaciones para todo el software instalado.
- Tener actualizada la protección antivirus.
- Utilizar usuarios con privilegios limitados.
- Mucha precaución al abrir archivos adjuntos o al acceder a enlaces web.
- Evitar la descarga de software pirateado.
- Protegerse de los ataques que utilicen la ingeniería social.
- Utilizar contraseñas fuertes.
El troyano Bohu se ha detectado en China, aunque no se descarta que en breve se expanda por el resto de los continentes, afectando a otros proveedores de software de seguridad en la nube. Por ello, desde el departamento técnico de ESET en Ontinet.com, aconsejamos actuar con mucha precaución y aplicar las recomendaciones dictadas por Microsoft.
David Sánchez