Trojan vượt qua được chống virus dựa vào đám mây

Trojanbypasses cloud-based anti-virus

21January 2011, 16:31

Theo:http://www.h-online.com/security/news/item/Trojan-bypasses-cloud-based-anti-virus-1173385.html

Bàiđược đưa lên Internet ngày: 21/01/2011

Lờingười dịch: Bohu, một phần mềm độc hại chỉ chạyđược với Windows thông qua giao thức Winsock SPI, hiện chủyếu có tại Trung Quốc, được cho là có khả năng vượtqua được các giải pháp chống virus và gây rủi ro chocác tệp thông qua việc đưa yêu cầu tới máy chủ trongđám mây. Còn chưa rõ nó có khả năng khóa không cho truycập vào đám mây hay không.

Trungtâm Bảo vệ chống Phần mềm độc hại của Microsoftđang nói rằng Bohu, một Trojan chủ yếu có ở Trung Quốc,có khả năng vượt qua được các giải pháp chống virusmà chúng ước tính rủi ro cho các tệp bằng việc đưayêu cầu tới một máy chủ trong đám mây. Bohu sử dụngmột số kỹ thuật để tránh sự dò tìm ra.

Theobáo cáo, Bohu nối thêm vào một cách ngẫu nhiên các dữliệu tới các tệp riêng của nó để phá ngang sự dòtìm ra dựa vào hàm băm. Các trình quét đám mây gửi mộthàm băm tệp tới máy chủ của đám mây để xác địnhliệu thông tin có sẵn sàng cho một tệp nào đó đượcđưa ra hay không. Dữ liệu ngẫu nhiên này tạo ra mộthàm băm mới được hình thành mà máy chủ không nhậnbiết được.

Bohucũng dự định khóa các giao thông của các dữ liệu giữaphần mềm chống virus và đám mây. Nó làm vậy bằng việccài đặt một bộ lọc thông qua Giao diện Nhà cung cấpDịch vụ của Windows Sockets (Winsock SPI) và một trình điềukhiển của NDIS mà, theo Microsoft, sẽ khóa giao thông mạngvà các yêu cầu HTTP có chứa các từ khóa đặc biệt vàcác địa chỉ của máy chủ không cho tải lên được máychủ.

Hiệnhành, Bohu hình như chỉ cố gắng khóa các kết nối tớicác giải pháp đám mây từ các nhà cung cấp của TrungQuốc như Kingsoft, Rising và Qihoo. Bohu gây lây nhiễm chocác máy tính bằng việc tự nó ẩn mình như một videocodec khi nó cài đặt các tệp bổ sung vào đó. Còn chưarõ báo cáo của Microsoft và mô tả của nó về phần mềmđộc hại này có khóa không cho truy cập vào đám mây haykhông. Bohu thực sự, ví dụ, ăn cắp các dữ liệu hoặcthực hiện một số chức năng bất chính khác.

Microsoft'sMalware Protection Center is reportingthat Bohu, a trojan largely confined to China, is able to bypassanti-virus solutions which assess the risk posed by files by queryinga server in the cloud. Bohu uses a number of techniques to avoiddetection.

Accordingto the report, Bohu appends random data to its own files in order tothwart hash-based detection. Cloud scanners send a file's hash to thecloud server to determine whether information is available for agiven file. The random data results in a new hash being generatedwhich the server does not recognise.

Bohualso attempts to block data traffic between anti-virus software andthe cloud. It does so by installing a filter via the Windows SocketsService Provider Interface (WinsockSPI) and an NDIS driver which, according to Microsoft, blocksnetwork traffic and HTTP requests containing specific keywords andserver addresses f-rom being uploaded to the server.

Currently,Bohu apparently only tries to block connections to cloud solutionsf-rom popular Chinese vendors Kingsoft, Rising and Qihoo. Bohu infectscomputers by disguising itself as a video codec and once thereinstalls additional files. It's not clear f-rom Microsoft's report andits descriptionof the malware what, apart f-rom blocking cloud access, Bohuactually does, whether, for example, it steals data or performs someother nefarious function.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com