Проверяем, не заражен ли компьютер троянцем Bohu

В начале этого года достаточно активно распространялась троянская программа под названием Bohu, которая привлекла к себе внимание тем, что способна блокировать «облачные» антивирусные сервисы, что пока еще встречается нечасто. Программа распространяется с помощью приемов социальной инженерии и ориентирована прежде всего на китайских пользователей. Коллеги из MMPC (Microsoft Malware Protection Center – антивирусного центра Microsoft) опубликовали интересный блогпост в котором подробно рассказали об этом троянце.

Нужно отметить, что наши продукты детектировали и блокировали Bohu на основе анализа его поведения в системе еще до того, как в базы были добавлены сигнатуры троянца. Тем не менее, если ваша система была заражена до того, как вы установили антивирусный сканер, у вас могут возникнуть серьезные проблемы…

Среди прочего, Bohu блокирует доступ к серверу «Лаборатории Касперского», с которого загружаются обновления сигнатурных баз, перехватывая запросы на преобразование доменных имен и блокируя попытки соединения с доменом, в котором находится сервер обновлений. Из-за этого на зараженном компьютере не происходят автоматические обновления сигнатурных баз «Лаборатории Касперского», в результате чего антивирусный продукт не имеет возможности обнаружить и нейтрализовать угрозу.

Однако тем, что Bohu фильтрует доменные имена, можно воспользоваться для проверки системы на наличие заражения! Мы разместили небольшую веб-страничку по адресу http://www.securelist.com/bohucheck которая выдает два разных сообщения в зависимости от того, имеет ли проверяемый компьютер доступ к блокируемому троянцем домену. Теперь пользователю достаточно посетить эту страничку, чтобы выяснить, заражен ли его компьютер троянцем Bohu. Если страница выдает показанное выше сообщение – значит, троянца на компьютере нет.

Но если на странице появляется следующее предупреждение – система, скорее всего, заражена:

В любом случае, если вы увидели такое сообщение, вам следует самостоятельно проверить и вылечить свой компьютер. Для этого вы можете бесплатно загрузить образ диска аварийного восстановления и создать загрузочный компакт-диск или USB-накопитель, а затем загрузиться с него. Фильтр доменных имен, установленный троянцем, никак не затрагивает систему, загружаемую с диска аварийного восстановления. Поэтому антивирус, входящий в состав диска, сможет обновить базы сигнатур, чтобы обнаружить и удалить вредоносную программу. Дополнительную информацию об использовании диска аварийного восстановления можно найти здесь.