Trojan阻止云防病毒安全技术

更新时间: Sep 04, 2019  作者:刘断罪无尽  来源:

企业并不是唯一对云安全产品感兴趣的企业。

恶意软件作者也会关注它们-Bohu特洛伊木马会阻止连接Windows机器采用云计算防病毒技术来禁用用户“防御。”

该恶意软件首先被中国的微软研究人员发现,目标是那里的流行反病毒产品。据微软称,这种特洛伊木马通常伪装成视频赛门铁克发现,一旦进入计算机,该恶意软件就会拦截并阻止流量到多个反病毒站点,包括rsup10.rising.com.cn和down.360safe.com。

“基于云的病毒检测通常通过将客户端重要威胁数据发送到服务器进行后端分析,然后获取进一步的检测和删除指令,”微软研究人员JingliLi和ZhitaoZhou在一篇博文中解释道。可能需要几秒钟到几分钟,而且是旨在删除未通过传统的开箱即签名方法处理的恶意软件。Bohu试图切断云客户端和服务器通信,并不断修改其组件的文件内容,以逃避基于云的扫描检测。“

在破坏系统后,特洛伊木马会创建并安装许多文件。它还会安装网络驱动程序接口规范(NDIS)过滤器,修改注册表并写入在其关键有效负载组件末尾的随机垃圾数据,以躲避基于云的反病毒技术使用的基于散列的检测。

据微软称,Bohu阻止通过Windows访问反病毒云服务器套接字服务提供程序接口(SPI)fi阻止云安全客户端和服务器之间的网络流量。

“[NDIS]驱动程序的目的是通过查找IP中的服务器地址来防止防病毒客户端将数据上传到服务器数据报,“微软研究人员在他们的博客文章中说。“该驱动程序探测数据流并查找一些主要中国AV供应商的HTTP请求关键字和云服务器名称,例如Kingsoft,Rising和Qihoo。我们已联系相关供应商,了解此恶意软件威胁。”>

此外,Bohu还修改了来自sogou.com的搜索,并提供了来自搜狗,百度和谷歌的cookie。

恶意软件阻止流量的站点是geo.kaspersky.com。根据卡巴斯基实验室的高级恶意软件研究员KurtBaumgartner的说法,特洛伊木马使用的一些技术已经很久了,已经存在了十多年。简单的“使用垃圾数据进行变形并不是一种新方法,”他说,并补充说木马的行为使得通过客户端行为保护更容易检测。

“结合其他两种技术,很明显,他们专门针对一些较新的基于云的技术,“他补充说。”其他两种方法更难以实现,可靠地修改NDIS以应对恶意软件的云切断目的并非易事。“这肯定不是恶意软件第一次试图阻止保护技术”访问互联网。“

(责任编辑:创盈彩票app)

本文地址:http://www.transkk.com/mianbuhuli/timaoqi/201909/5354.html

上一篇:Fa创盈彩票appcebook冠军500M用户标记故事 下一篇:没有了