• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    Troyano Bohu, ¿los antivirus en la nube corren peligro?

    Troyano Bohu, ¿los antivirus en la nube corren peligro? En algunas ocasiones, nos hemos encontrado en nuestro sistema con un tipo de troyano con una función muy específica. Su funcionamiento se basa en deshabilitar el ...

          
    1. #1
      Redactor Avatar de Pacman
      Registrado
      abr 2005
      Ubicación
      Silicon Valley
      Mensajes
      1.749

      Mensaje Troyano Bohu, ¿los antivirus en la nube corren peligro?

      Troyano Bohu, ¿los antivirus en la nube corren peligro?

      En algunas ocasiones, nos hemos encontrado en nuestro sistema con un tipo de troyano con una función muy específica. Su funcionamiento se basa en deshabilitar el antivirus con la finalidad de descargar otro tipo de malware sin ningún impedimento, además podía bloquear el acceso a algunas páginas de fabricantes de seguridad o incluso a Windows Update.

      Desde Microsoft, nos informan de una nueva amenaza llamada TrojanDropper:Win32/Bohu.A. Este troyano ha sido detectado en Taiwán por investigadores chinos de Microsoft, los cuales indican que el troyano infecta al usuario haciéndose pasar por un reproductor de vídeo de alta definición falso o mediante la descarga de un falso códec de vídeo.

      El troyano utiliza las siguientes estrategias para no ser detectado por los antivirus en la nube:

      • El cloud antivirus envía al servidor un hash del archivo y espera la respuesta del servidor para determinar si el archivo es malicioso o no. Lo que hace el Bohu, es alterar el archivo hash añadiendo varios bytes inservibles, por lo que el troyano y sus componentes pueden eludir el análisis en el servidor.

      • Mediante la instalación de un controlador NDIS, controla la interfaz de red para detectar y bloquear las comunicaciones con los servidores en la nube. Este proceso lo logra mediante la búsqueda de nombres de servidores, direcciones IP o palabras clave específicas.

      • El troyano también instala su propio SPI (Interfaz del Proveedor de Servicios), para bloquear el tráfico entre el cliente y el servicio del antivirus en la nube.


      Hasta ahora, se observaron tres empresas de software de seguridad en la nube afectadas, todas procedentes de China: Kingsoft, Rising, y Qihoo

      Desde Microsoft, además de un análisis detallado sobre los registros, procesos y demás características de este troyano, nos recomiendan lo siguiente:

      • Habilitar el cortafuegos del sistema.
      • Descargar las últimas actualizaciones para todo el software instalado.
      • Tener actualizada la protección antivirus.
      • Utilizar usuarios con privilegios limitados.
      • Mucha precaución al abrir archivos adjuntos o al acceder a enlaces web.
      • Evitar la descarga de software pirateado.
      • Protegerse de los ataques que utilicen la ingeniería social.
      • Utilizar contraseñas fuertes.


      El troyano Bohu se ha detectado en China, aunque no se descarta que en breve se expanda por el resto de los continentes, afectando a otros proveedores de software de seguridad en la nube.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de GBE90
      Registrado
      nov 2007
      Ubicación
      Venezuela
      Mensajes
      670

      Bien Re: Troyano Bohu, ¿los antivirus en la nube corren peligro?

      Buena informacion, digame yo tengo el panda cloud que es todo en la nube... que antivirus detectan este troyano?? muchas gracias

    3. #3
      Usuario Avatar de JesuSvq
      Registrado
      abr 2010
      Ubicación
      Sevilla
      Mensajes
      1.353

      Re: Troyano Bohu, ¿los antivirus en la nube corren peligro?

      * El cloud antivirus envía al servidor un hash del archivo y espera la respuesta del servidor para determinar si el archivo es malicioso o no. Lo que hace el Bohu, es alterar el archivo hash añadiendo varios bytes inservibles, por lo que el troyano y sus componentes pueden eludir el análisis en el servidor.

      * Mediante la instalación de un controlador NDIS, controla la interfaz de red para detectar y bloquear las comunicaciones con los servidores en la nube. Este proceso lo logra mediante la búsqueda de nombres de servidores, direcciones IP o palabras clave específicas.

      * El troyano también instala su propio SPI (Interfaz del Proveedor de Servicios), para bloquear el tráfico entre el cliente y el servicio del antivirus en la nube.
      jolines... nunca hay buenas noticias??

      Muchas Gracias por la info Pacman

      Saludos

    4. #4
      Usuario Avatar de CCesar2
      Registrado
      jul 2009
      Ubicación
      Lima - Perú
      Mensajes
      1.948

      Re: Troyano Bohu, ¿los antivirus en la nube corren peligro?

      Era de esperarse, que traten de vulnerar estos AV desde la nube.

      A navegar con mucho cuidado y los consejos de siempre, contraseñas fuertes y no dar clic en enlaces peligrosos.

      Saludos

    5. #5
      Usuario Avatar de TheLordTherion
      Registrado
      oct 2010
      Ubicación
      /home/Acapulco/
      Mensajes
      1.010

      Re: Troyano Bohu, ¿los antivirus en la nube corren peligro?

      Pues más que nada lo nque nos hace vulnerables siempre es el mismo sentido común que les damos a la s cosas y que n nos sirven de mucho a la hora de estar preparándonos sobre nuestra protección, pero ahora que se nos han visto varios avistamientos de cosas inexplicables en el planeta, no es de bastarse conque va a crearse mátipos de malwares más sofisticados de lo normal y que van a hacer hasta casi imposible su detección, lo que más me atrajo la atención de este troyano fue ésto:
      • El cloud antivirus envía al servidor un hash del archivo y espera la respuesta del servidor para determinar si el archivo es malicioso o no. Lo que hace el Bohu, es alterar el archivo hash añadiendo varios bytes inservibles, por lo que el troyano y sus componentes pueden eludir el análisis en el servidor.



      • El troyano también instala su propio SPI (Interfaz del Proveedor de Servicios), para bloquear el tráfico entre el cliente y el servicio del antivirus en la nube.


      Pues eso si que hay que tener cuidado con este tipo de nuevas amenazas, la red de redes se está perdiendo en un nuevo conjunto de infecciones que ponen a uno a dudar a estar de nuevo sin un computador.

      Fuera de eso gracias por la info Pacman.

    6. #6
      Ex-Colaborador Avatar de RevesdeLiberte
      Registrado
      feb 2010
      Ubicación
      México
      Mensajes
      7.976

      Re: Troyano Bohu, ¿los antivirus en la nube corren peligro?

      Hola.

      Muy buena informacion, me intriga una cosa, parece ser que un antivirus en la nube queda inservible una vez que este amiguito entra en el equipo, ¿Entonces todos loas AVs en la nube estan indefensos?

      Necesito saber en concreto si un AV en la nuber sirve o no contra este bicho y si un AV tradicional si puede bloquearlo/eliminarlo.

      PD: Iva a instalar Panda Cloud Free en la PC de mi hermano.

    7. #7
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Troyano Bohu, ¿los antivirus en la nube corren peligro?

      Hola a todos,

      Primeramente comentar que ningún Antivirus tanto sea tradicional o de la nube puede garantizar siempre el 100% de la detección de todo y de forma inmediata, por lo que este al igual que cualquier nuevo malware puede que se le escape a todos, algunos o que lo vayan detectando horas o días mas tarde. Recuerden que la seguridad absoluta no existe.


      Troyano Bohu: Sobre este troyano en particular, creo que por un lado era cuestión de tiempo y de esperarse que se comenzara a desarrollar código malicioso apuntado a las nuevas tecnologías del Cloud (la nube), pero al menos hasta el momento se detectaron muy pocas variantes de este que no trascendieron demasiado mas haya de China y que no crearon demasiados incidentes.

      Obviamente que esto puede cambiar de un momento a otros si llegaran a comenzar a aparecer nuevas variantes del mismo o malwares similares en otros países, pero tampoco sería algo muy alejado a lo que viene sucediendo con los virus en general.


      Bohu vs. Panda Cloud Antivirus: En este caso también primeramente es bueno aclarar que si bien Panda Cloud es un antivirus que se basa en la nube, este también cuenta con otros tipos de detecciones como ser la caché local de firmas, motor heurístico, etc... Que permiten detectar y eliminar un malware incluso antes de que este tenga que ser enviado su hash a la nube para ser contrarrestado con otros 20 o 30 procesos que se le realizan de forma online. A su vez el reversing que se le hace al archivo para quitarle el hash va variando y utiliza diferentes tipos para evitar posibles bloqueos.

      En este caso las muestras probadas, fueron detectadas y eliminadas por Panda Cloud Antivirus sin inconvenientes, solo que lo detecta como Trj/CI.A




      Código:
      Antivirus results
      AhnLab-V3 - 2011.02.06.00 - 2011.02.06 - -
      AntiVir - 7.11.3.52 - 2011.02.12 - TR/Dropper.Gen 
      Antiy-AVL - 2.0.3.7 - 2011.02.13 - -
      Avast - 4.8.1351.0 - 2011.02.12 - -
      Avast5 - 5.0.677.0 - 2011.02.12 - -
      AVG - 10.0.0.1190 - 2011.02.12 - -
      BitDefender - 7.2 - 2011.02.13 - -
      CAT-QuickHeal - 11.00 - 2011.02.13 - -
      ClamAV - 0.96.4.0 - 2011.02.13 - -
      Commtouch - 5.2.11.5 - 2011.02.12 - -
      Comodo - 7670 - 2011.02.13 - TrojWare.Win32.Trojan.Agent.dfgh 
      DrWeb - 5.0.2.03300 - 2011.02.13 - Trojan.MulDrop2.1922 
      Emsisoft - 5.1.0.2 - 2011.02.13 - Trojan-Dropper.Win32.Bohu!IK 
      eSafe - 7.0.17.0 - 2011.02.10 - -
      eTrust-Vet - 36.1.8154 - 2011.02.11 - -
      F-Prot - 4.6.2.117 - 2011.02.04 - -
      F-Secure - 9.0.16160.0 - 2011.02.13 - -
      Fortinet - 4.2.254.0 - 2011.02.13 - -
      GData - 21 - 2011.02.13 - -
      Ikarus - T3.1.1.97.0 - 2011.02.13 - Trojan-Dropper.Win32.Bohu 
      Jiangmin - 13.0.900 - 2011.02.13 - -
      K7AntiVirus - 9.83.3836 - 2011.02.12 - -
      Kaspersky - 7.0.0.125 - 2011.02.13 - Trojan-Dropper.Win32.NSIS.vm 
      McAfee - 5.400.0.1158 - 2011.02.13 - Artemis!C154F15810F3 
      McAfee-GW-Edition - 2010.1C - 2011.02.12 - Artemis!C154F15810F3 
      Microsoft - 1.6502 - 2011.02.13 - TrojanDropper:Win32/Bohu.B 
      NOD32 - 5868 - 2011.02.12 - -
      Norman - 6.07.03 - 2011.02.12 - W32/Smalldoor.QJTC 
      nProtect - 2011-01-27.01 - 2011.02.02 - -
      Panda - 10.0.3.5 - 2011.02.12 - Trj/CI.A 
      PCTools - 7.0.3.5 - 2011.02.13 - -
      Prevx - 3.0 - 2011.02.13 - -
      Rising - 23.44.06.00 - 2011.02.13 - -
      Sophos - 4.61.0 - 2011.02.13 - -
      SUPERAntiSpyware - 4.40.0.1006 - 2011.02.12 - -
      Symantec - 20101.3.0.103 - 2011.02.13 - -
      TheHacker - 6.7.0.1.129 - 2011.02.13 - -
      TrendMicro - 9.200.0.1012 - 2011.02.13 - TROJ_GEN.RB4C2B9 
      TrendMicro-HouseCall - 9.200.0.1012 - 2011.02.13 - TROJ_GEN.RB4C2B9 
      VBA32 - 3.12.14.3 - 2011.02.11 - -
      VIPRE - 8402 - 2011.02.13 - Trojan.Win32.Generic!BT 
      ViRobot - 2011.2.12.4307 - 2011.02.12 - Trojan.Win32.Bohu.1543078 
      VirusBuster - 13.6.196.0 - 2011.02.12 - -
      Scan date: 2011-02-13 08:26:20 (UTC)

      Y por último y no menos importantes, es que cualquier equipo puede resultar infectado con este malware sin importar si su AV trabaja o no con la nube siempre y cuando se le escape a este, pero que por suerte y por el momento, como comentaba anteriormente, al menos en este caso no hay una epidemia masiva ni similar.




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de TheLordTherion
      Registrado
      oct 2010
      Ubicación
      /home/Acapulco/
      Mensajes
      1.010

      Re: Troyano Bohu, ¿los antivirus en la nube corren peligro?

      Cita Originalmente publicado por ElPiedra Ver Mensaje

      Código:
      Antivirus results
      AhnLab-V3 - 2011.02.06.00 - 2011.02.06 - -
      AntiVir - 7.11.3.52 - 2011.02.12 - TR/Dropper.Gen 
      Antiy-AVL - 2.0.3.7 - 2011.02.13 - -
      Avast - 4.8.1351.0 - 2011.02.12 - -
      Avast5 - 5.0.677.0 - 2011.02.12 - -
      AVG - 10.0.0.1190 - 2011.02.12 - -
      BitDefender - 7.2 - 2011.02.13 - -
      CAT-QuickHeal - 11.00 - 2011.02.13 - -
      ClamAV - 0.96.4.0 - 2011.02.13 - -
      Commtouch - 5.2.11.5 - 2011.02.12 - -
      Comodo - 7670 - 2011.02.13 - TrojWare.Win32.Trojan.Agent.dfgh 
      DrWeb - 5.0.2.03300 - 2011.02.13 - Trojan.MulDrop2.1922 
      Emsisoft - 5.1.0.2 - 2011.02.13 - Trojan-Dropper.Win32.Bohu!IK 
      eSafe - 7.0.17.0 - 2011.02.10 - -
      eTrust-Vet - 36.1.8154 - 2011.02.11 - -
      F-Prot - 4.6.2.117 - 2011.02.04 - -
      F-Secure - 9.0.16160.0 - 2011.02.13 - -
      Fortinet - 4.2.254.0 - 2011.02.13 - -
      GData - 21 - 2011.02.13 - -
      Ikarus - T3.1.1.97.0 - 2011.02.13 - Trojan-Dropper.Win32.Bohu 
      Jiangmin - 13.0.900 - 2011.02.13 - -
      K7AntiVirus - 9.83.3836 - 2011.02.12 - -
      Kaspersky - 7.0.0.125 - 2011.02.13 - Trojan-Dropper.Win32.NSIS.vm 
      McAfee - 5.400.0.1158 - 2011.02.13 - Artemis!C154F15810F3 
      McAfee-GW-Edition - 2010.1C - 2011.02.12 - Artemis!C154F15810F3 
      Microsoft - 1.6502 - 2011.02.13 - TrojanDropper:Win32/Bohu.B 
      NOD32 - 5868 - 2011.02.12 - -
      Norman - 6.07.03 - 2011.02.12 - W32/Smalldoor.QJTC 
      nProtect - 2011-01-27.01 - 2011.02.02 - -
      Panda - 10.0.3.5 - 2011.02.12 - Trj/CI.A 
      PCTools - 7.0.3.5 - 2011.02.13 - -
      Prevx - 3.0 - 2011.02.13 - -
      Rising - 23.44.06.00 - 2011.02.13 - -
      Sophos - 4.61.0 - 2011.02.13 - -
      SUPERAntiSpyware - 4.40.0.1006 - 2011.02.12 - -
      Symantec - 20101.3.0.103 - 2011.02.13 - -
      TheHacker - 6.7.0.1.129 - 2011.02.13 - -
      TrendMicro - 9.200.0.1012 - 2011.02.13 - TROJ_GEN.RB4C2B9 
      TrendMicro-HouseCall - 9.200.0.1012 - 2011.02.13 - TROJ_GEN.RB4C2B9 
      VBA32 - 3.12.14.3 - 2011.02.11 - -
      VIPRE - 8402 - 2011.02.13 - Trojan.Win32.Generic!BT 
      ViRobot - 2011.2.12.4307 - 2011.02.12 - Trojan.Win32.Bohu.1543078 
      VirusBuster - 13.6.196.0 - 2011.02.12 - -
      Scan date: 2011-02-13 08:26:20 (UTC)

      Y por último y no menos importantes, es que cualquier equipo puede resultar infectado con este malware sin importar si su AV trabaja o no con la nube siempre y cuando se le escape a este, pero que por suerte y por el momento, como comentaba anteriormente, al menos en este caso no hay una epidemia masiva ni similar.




      Salu2
      Gracias por el reporte, y tienes razón Marcelo, aunque el AV que uses busque el código podía llegar a escaparsele y ser ''mortal'' pero como dices no hay seguridad absoluta si uno no tiene la consideración con su sistema mismo(windows) a que no está bien protegido con todas las actualizaciones y que sus antivirus sean originales y no con las clásicas herramientas que ya conocemos de ''activación de por vida'' porque no estaríamos seguros.

      Gracias por aportarlo.