Какво е Mylobot и как работи този зловреден софтуер?

Какво е Mylobot и как работи този зловреден софтуер?

През 2017 г. изследователите по сигурността откриха около 23 000 проби от злонамерен софтуер всеки ден, което е около 795 броя злонамерен софтуер, произведени на всеки час. Звучи ужасно, но всъщност по-голямата част от тези проби са вариации на съществуващ зловреден софтуер, той просто използва различен код, за да създаде „нов“ подпис. Наскоро обаче се появи нов, много сложен зловреден софтуер, наречен Mylobot.

Какво е Mylobot?

Mylobot е злонамерен софтуер за ботнет , който съдържа голям брой злонамерени намерения. Том Ниправски, изследовател по сигурността за Deep Instinct, беше първият, който откри този зловреден софтуер.

Какво е Mylobot и как работи този зловреден софтуер?

Този злонамерен софтуер съчетава серия от сложни техники за заразяване и обфускиране в един мощен пакет. Ето техниките, използвани в Mylobot:

  • Техника за антивиртуална машина (VM) : Този зловреден софтуер изследва компютърната среда за признаци на използване на виртуална машина . Ако се установи някаква индикация, че потребителят използва виртуална машина, тя няма да се стартира.
  • Техники против пясъчна среда : Много подобни на техниките за анти-виртуална машина.

Вижте повече: 7 най-добри Sandbox приложения за Windows 10

  • Техники за отстраняване на грешки : Не позволявайте на изследователите по сигурността да работят ефективно върху образец на зловреден софтуер, като променят поведението на определена програма за отстраняване на грешки.
  • Обвийте вътрешността с криптиран файл с ресурси : Защитете вътрешния код на злонамерения софтуер с криптиране.
  • Техника на атака с инжектиране на код : Mylobot изпълнява персонализиран код, за да атакува системата, като заразява процеси с този код за достъп и прекъсване на редовните операции.
  • Празен манипулатор : Нападателят създава нов процес в суспендирано състояние, след което го заменя със скрит процес.
  • Reflective EXE техника : Стартирайте EXE файлове от паметта, вместо от устройството.
  • Механизъм на забавяне : Зловреден софтуер забавя 14 дни преди да се свърже със сървъра за управление и управление.

Mylobot изпълнява различни техники, за да остане скрит.

Анти-sandbox, anti-debug и анти-виртуални машинни техники се опитват да предотвратят откриването на злонамерен софтуер по време на сканиране със софтуер против злонамерен софтуер , както и да попречат на изследователите по сигурността да изолират злонамерен софтуер на машина. виртуална или пясъчна среда за анализ и изследване .

Mylobot използва Reflective EXE, за да го направи още по-труден за откриване, тъй като не работи директно на устройството, така че не може да бъде анализиран от антивирусен или антизловреден софтуер.

„Структурата на неговия код е много сложна, това е многонишков злонамерен софтуер, всяка нишка е отговорна за внедряването на различни възможности на зловредния софтуер“, пише Ниправски в публикация. И също така се споменава: „Този ​​злонамерен софтуер съдържа три слоя файлове, вложени един в друг, където всеки слой отговаря за изпълнението на следващия. Последният слой използва техниката Reflective EXE".

Заедно с техниките за анти-анализ и анти-откриване, Mylobot може да забави за 14 дни, след което да се свърже със своя команден и контролен сървър. Когато Mylobot установи връзка, ботнетът изключва Windows Defender и Windows Update , както и затваря някои портове на защитната стена на Windows.

Mylobot търси и убива други видове зловреден софтуер

Една от интересните и редки характеристики на този зловреден софтуер Mylobot е, че има способността да търси и унищожава друг зловреден софтуер. За разлика от друг злонамерен софтуер, Mylobot е готов да унищожи тези типове злонамерен софтуер, ако присъства в системата. Той сканира папката Application Data на системата за често срещани файлове и папки със зловреден софтуер. Ако открие конкретен файл или процес, Mylobot ще го „убие“.

И така, какво точно прави Mylobot?

Основната функция на Mylobot е да контролира системата, от която нападателят има достъп до онлайн информация за влизане, системни файлове и т.н. Нивото на щетите зависи от нападателя на системата. Може да причини големи щети, особено когато проникне в корпоративната среда.

Mylobot е свързан и с други ботнети като DorkBot, Ramdo и скандалната мрежа Locky. Ако Mylobot действа като „проводник“ за ботнет мрежи и други видове зловреден софтуер, тогава това е истинска катастрофа.

Как да се противопоставим на Mylobot

Лошата новина е, че Mylobot заразява системи повече от две години. Неговият команден и контролен сървър беше открит за първи път през ноември 2015 г. Mylobot убягваше на всички други изследователи и компании за сигурност дълго време, преди да бъде открит от инструмента за мрежови изследвания за „задълбочено обучение“ на Deep Instinct.

Конвенционалните антивирусни и анти-зловреден софтуер инструменти не могат да защитят срещу Mylobot поне за момента. Сега, когато е налична проба на Mylobot, много изследователи и компании за сигурност могат да я използват, за да намерят мерки срещу този зловреден софтуер.

Междувременно трябва да разгледате нашия списък с антивирусни инструменти и инструменти за компютърна сигурност . Въпреки че тези инструменти не могат да унищожат Mylobot, те могат да спрат друг зловреден софтуер. Освен това можете да се обърнете към статията Напълно премахване на злонамерен софтуер (зловреден софтуер) на компютри с Windows 10 .

Виж повече:


Какво представляват форматите FAT32, NTFS, exFAT?

Какво представляват форматите FAT32, NTFS, exFAT?

NTFS, FAT32, exFAT са файлови системи на Windows, но по-конкретно какво е NTFS, какво е FAT32, какво е exFAT, какви са техните прилики и разлики? Каним читателите да се обърнат към тази статия.

Научете за протокола Telnet

Научете за протокола Telnet

Telnet е протокол за команден ред, използван за дистанционно управление на различни устройства като сървъри, компютри, рутери, комутатори, камери, защитни стени.

Какво е влизане без парола? Наистина ли е безопасно?

Какво е влизане без парола? Наистина ли е безопасно?

Ако не използвате парола, как ще защитите акаунта си? Какво представляват влизанията без парола и безопасни ли са? Нека разберем с Quantrimang.com чрез следната статия!

Какво е повреда на данните?

Какво е повреда на данните?

Когато някой обсъжда запазването на чувствителни данни, вероятно ще чуете термина „повреждане на данни“. И така, какво е „повреждане на данни“ и как можете да коригирате файловете си, ако нещо се обърка?

Научете за Cloud Firewall

Научете за Cloud Firewall

Тъй като технологията около нас се развива, защитните стени също трябва да бъдат пренесени в облака, за да бъдат в крак с тенденцията. Ето защо се роди терминът облачна защитна стена.

Какво представлява зловреден софтуер с кодов подпис и как да го избегнете?

Какво представлява зловреден софтуер с кодов подпис и как да го избегнете?

Подписването на код е метод за използване на базиран на сертификат цифров подпис за част от софтуера, така че операционната система и потребителите да могат да определят неговата безопасност. Какво е подписан с код злонамерен софтуер и как работи?

13 причини да използвате VPN

13 причини да използвате VPN

Виртуалните частни мрежи са достъпни, лесни за използване и са важен компонент от настройките на компютри и смартфони. Заедно с вашата защитна стена и антивирусно/антизловреден софтуер решение, трябва да инсталирате VPN, така че всеки момент, който прекарвате онлайн, да е напълно личен.

Какво е Mylobot и как работи този зловреден софтуер?

Какво е Mylobot и как работи този зловреден софтуер?

През 2017 г. изследователите по сигурността са открили около 23 000 проби от злонамерен софтуер всеки ден, което е около 795 броя злонамерен софтуер, произведени на всеки час. Наскоро се появи нов, много сложен зловреден софтуер, наречен Mylobot.

Научете за децибелите (dB) в компютърните мрежи

Научете за децибелите (dB) в компютърните мрежи

Децибел (dB) е стандартна мерна единица, използвана за измерване на силата на кабелни и безжични мрежови сигнали.

Какво представлява Catalyst Control Center (CCC.exe)?

Какво представлява Catalyst Control Center (CCC.exe)?

Catalyst Control Center е помощна програма, която идва с драйвера и помага на видеокартите на AMD да работят. Показва се като CCC.exe в диспечера на задачите на потребителя и в повечето случаи никога няма да се притеснявате за това.