该恶意软件最早由微软研究人员在我国发现，该恶意软件企图攻击我国主流杀毒产品。根据微软研究人员表示，该木马通常都会伪装成视频播放器来诱使用户下载。一旦在计算机上安装，该恶意软件就会拦截和阻止发送到杀毒网站的流量，包括rsup10.rising.com.cn 和down.360safe.com，赛门铁克公司发现。

　　Bohu木马企图阻碍杀毒产品中云安全技术

　　“基于云计算的病毒检测通常是通过客户端发送重要威胁数据到服务器来进行后端分析，并随后进行进一步检测和清除指令，”微软研究人员表示，“这个过程可能需要几秒钟到几分钟，并且移除恶意软件的方式并不是通过传统的随取随用签名方法。”Bohu试图切断云客户端和服务器间的通信，并且立即修改 内容，为了躲避云查杀的扫描。

　　在感染系统后，该木马会创建并安装大量文件。它还会安装一个网络驱动程序接口规范(NDIS)过滤器，修改注册表，并向关键有效载荷组件的末端写入随机垃圾数据来躲避云计算杀毒技术使用的哈希检测。

　　据微软称，Bohu木马程序通过Windows Socket服务供应商界面(SPI)过滤器来阻碍到杀毒云服务器的访问，该过滤器能够阻止云安全客户端和服务器间的网络流量。

　　“NDIS驱动器的目的是为了阻止杀毒软件客户端通过在IP地址数据表中查询服务器的地址来上载数据到服务器，”微软研究人员表示，“该驱动器会探测数据流，并找到HTTP请求关键字以及一些主流杀毒供应商(例如瑞星、奇虎等)的云服务器名称，我们已经联系了这些相关供应商关于这个恶意软件威胁问题。”

　　此外，Bohu还会修改搜狗的搜索结果，并且删除cookies，百度和谷歌同样如此。

　　该恶意软件阻止流量的站点中还包括geo.kaspersky.com，根据Kaspersky实验室高级恶意软件研究人员Kurt Baumgartner表示，该木马程序使用的某些技术是很旧的，差不多有十多年历史了。简单地用垃圾数据覆盖数据并不是新方法，他表示，该木马程序的行为让它更容易被客户端行为保护技术所检测。

　　“结合另外两种技术，很显然，他们是专门针对一些较新的基于云计算的技术，”他补充说，“其他两种方法比较难解决，修改NDIS来阻止该恶意软件切断云连接并不是容易事，但是这肯定不是第一次恶意软件试图阻止保护技术对互联网的访问。”