Troyano Bohu, ¿el antivirus en la nube corre peligro?

En algunas ocasiones, nos hemos encontrado en nuestro sistema con un tipo de troyano con una función muy específica. Su funcionamiento se basa en deshabilitar el antivirus con la finalidad de descargar otro tipo de malware sin ningún impedimento, además podía bloquear el acceso a algunas páginas de fabricantes de seguridad o incluso a Windows Update.

Desde cleanbytes.net, nos informan de una nueva amenaza llamada Bohu. Este troyano ha sido detectado en Taiwán por investigadores chinos de Microsoft, los cuales indican que el troyano infecta al usuario haciéndose pasar por un reproductor de vídeo de alta definición falso o mediante la descarga de un falso códec de vídeo.

El troyano utiliza las siguientes estrategias para no ser detectado por los antivirus en la nube:

  • El cloud antivirus envía al servidor un hash del archivo y espera la respuesta del servidor para determinar si el archivo es malicioso o no. Lo que hace el Bohu, es alterar el archivo hash añadiendo varios bytes inservibles, por lo que el troyano y sus componentes pueden eludir el análisis en el servidor.

  • Mediante la instalación de un controlador NDIS, controla la interfaz de red para detectar y bloquear las comunicaciones con los servidores en la nube. Este proceso lo logra mediante la búsqueda de nombres de servidores, direcciones IP o palabras clave específicas.

  • El troyano también instala su propio SPI (Interfaz del Proveedor de Servicios), para bloquear el tráfico entre el cliente y el servicio del antivirus en la nube.

Hasta ahora, se observaron tres empresas de software de seguridad en la nube afectadas, todas procedentes de China: Kingsoft, Rising, y Qihoo

Desde Microsoft, además de un análisis detallado sobre los registros, procesos y demás características de este troyano, nos recomiendan lo siguiente:

  • Habilitar el cortafuegos del sistema.
  • Descargar las últimas actualizaciones para todo el software instalado.
  • Tener actualizada la protección antivirus.
  • Utilizar usuarios con privilegios limitados.
  • Mucha precaución al abrir archivos adjuntos o al acceder a enlaces web.
  • Evitar la descarga de software pirateado.
  • Protegerse de los ataques que utilicen la ingeniería social.
  • Utilizar contraseñas fuertes.

El troyano Bohu se ha detectado en China, aunque no se descarta que en breve se expanda por el resto de los continentes, afectando a otros proveedores de software de seguridad en la nube. Por ello, desde el departamento técnico de ESET en Ontinet.com, aconsejamos actuar con mucha precaución y aplicar las recomendaciones dictadas por Microsoft.

David Sánchez

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..