当今,病毒和木马对互联网的威胁发生了很大的转变,传统的人工分析已经不足以支持庞大的病毒样本数量。在这种情况下,云安全技术诞生了。它将原来手工分析病毒的传统流程,转化为服务器端自动处理的过程,这是安全界的一个巨大创新,也是木马制作者们最头疼的防护模式。
思科的总裁钱伯斯曾说过,云计算将是安全的灾难,这个说法在业内也引发了一场不小的轰动。
实际上,这确实也并非耸人听闻,数据保护、终端防护、虚拟环境中的风险管理等信息安全问题伴随着云计算的来临将更加复杂和棘手,企业用户的信息安全将面临更加严峻的挑战。
近期,同样使用云计算技术的“云安全”,也出了点状况。
最近从微软的恶意软件保护中心公布的报告得知:在中国出现一个通过视频插件方式传播的Bohu木马病毒,它不但可以绕过各种杀毒软件的查杀。甚至还能直接阻断杀软跟“云”之间的沟通,阻止杀毒软件的和服务器的联系和升级。
根据该报告的解释:Bohu病毒会将随机数据加到自身文件,从而变成文件大小惊人的木马。以阻止基于哈希散列的检测。为云查杀引擎上传分析可疑程序制造障碍。
通常云安全杀毒软件扫描文件后,将文件的哈希散列发送到云服务器,以确定服务器上是否有该文件的可用信息。当一个病毒的哈希结果不断变化时,服务器将无法及时识别它。
此病毒大多被捆绑在一些播放器的安装文件中,在浏览某些非主流视频网站,如果用户被某些视频内容所诱惑,可能会点击安装这些特定的播放器。
其可能的出现形式如下:
安装播放器的同时,这些恶意的安装包会给系统安装一个基于SPI的数据过滤服务,然后通过过滤特定数据包,阻隔杀毒软件客户端和云端的通讯。
如果使用冰刃查看系统的SPI服务列表存在额外的netplayone.dll服务(不限于此名称),则证明系统已经中毒。
Bohu目前主要的变种被AVG检测为:Dropper.Generic2.BJOV和Dropper.Generic2.BJMC。AVG能够准确的识别捆绑病毒的安装包:
不过目前在Bohu病毒面前束手就擒的只有国内流行一些主流杀软,短期内普通用户只要配合使用专业的国外杀软都能对付这个病毒。但要想从根本上解决这类问题,还是需要使用AVG、卡巴斯基这种有主动防御功能的专业杀毒软件。