Trojan Bohu grasuje głównie na terenie Chin. Jego dość niespotykane działanie polega na tym, że oszukuje on programy antywirusowe pracujące w głośnej technologii chmury. Jednocześnie wykorzystuje on wiele różnych sposobów unikania swojego wykrycia.

Szkodnik ten w celach maskowania dołącza do swoich plików przypadkowe dane. Dzięki temu wykrywanie poprzez obliczanie funkcji skrótu kończy się niepowodzeniem. Tutaj zawodzą skanery antywirusowe, które właśnie ową funkcję przesyłają do serwera w celu identyfikacji szkodnika.

Dodatkowo trojan stara się za wszelką cenę zakłócać transmisję danych na linii skaner-chmura. Poprzez WINSOCK API instaluje on swój własny filtr oraz sterownik NDIS, który z założenia poszukuje w strumieniu danych określonych słów kluczowych i adresów serwerów. Jeśli trafi na niego, natychmiastowo blokuje wysyłanie danych.

Trojan ten najczęściej trafia na komputer ofiary jako kodek wideo, po czym zaczyna instalować kolejne pliki. Według danych Microsoftu nie wiadomo na razie czy posiada on tylko funkcje blokujące, czy może potrafi także szpiegować ruchy użytkownika.

Źródło: http://www.heise-online.pl