Un nuevo troyano bloquea los antivirus con tecnología cloud

Las nuevas tecnologías basadas en cloud computing para la protección de los ordenadores eran para los creadores de malware su siguiente objetivo. Este tipo de aplicaciones antivirus se ejecuta a nivel de servidor comunicándose vía Internet con los PC de los usuarios, de tal forma que intentan evitar que las amenazas lleguen a infectarlos.

El objetivo del troyano Bohu es precisamente el de saltarse esa protección y parece haberlo conseguido.

Investigadores chinos de Microsoft han sido los primeros en detectar esta actividad. Según la compañía, el troyano Bohu está enmascarado en un reproductor de vídeo (actualmente en la versión china de KVuse) para que los usuarios se lo descarguen. Una vez instalado, este malware intercepta y bloquea el tráfico de Internet que tiene como destino diversos sitios antivirus como rsup10.rising.com.cn y down.360safe.com, tal y como informaba Symantec.

Una vez que el troyano Bohu bloquea la transferencia de información entre cliente y servidor es capaz de crear e instalar una serie de ficheros y un filtro NDIS, así como modificar el registro de Windows.

Además, es capaz de modificar las búsquedas solicitadas al sitio sogou.com y eliminar cookies almacenadas en el PC infectado de diversos lugares como Google o Baidu.

Según Kaspersky, cuyo servicio cloud geo.kaspersky.com también ha sido bloqueado, “las técnicas utilizadas por los ciberdelincuentes no son nuevas, tienen más de una década, aunque ahora están combinadas con esos ataques a servicios de seguridad basados en la nube”.