Hvad er Mylobot, og hvordan virker denne malware?

I 2017 opdagede sikkerhedsforskere omkring 23.000 malwareprøver hver dag, hvilket er omkring 795 stykker malware, der produceres hver time. Det lyder forfærdeligt, men faktisk er størstedelen af ​​disse eksempler variationer af eksisterende malware, den bruger bare forskellig kode til at skabe en "ny" signatur. For nylig er der dog dukket et nyt, meget sofistikeret stykke malware op, kaldet Mylobot.

Hvad er Mylobot?

Mylobot er en botnet- malware , der indeholder et stort antal ondsindede hensigter. Tom Nipravsky, en sikkerhedsforsker for Deep Instinct, var den første til at opdage denne malware.

Denne malware kombinerer en række komplekse infektions- og sløringsteknikker i én kraftfuld pakke. Her er de teknikker, der bruges i Mylobot:

• Anti-virtuel maskine (VM)-teknik : Denne malware undersøger computermiljøet for tegn på brug af virtuel maskine . Hvis der findes en indikation på, at brugeren bruger en virtuel maskine, vil den ikke køre.
• Anti-sandbox-teknikker : Meget lig anti-virtuelle maskinteknikker.

Se mere: 7 bedste Sandbox-applikationer til Windows 10

• Anti-debugging-teknikker : Forhindrer sikkerhedsforskere i effektivt at arbejde på en malware-prøve ved at ændre adfærden for et bestemt fejlretningsprogram.
• Indpak det interne med en krypteret ressourcefil : Beskyt malwarens interne kode med kryptering.
• Kodeinjektionsangrebsteknik : Mylobot kører tilpasset kode for at angribe systemet, inficerer processer med denne kode for at få adgang til og afbryde almindelig drift.
• Tomt håndtag : Angriberen opretter en ny proces i en suspenderet tilstand og erstatter den derefter med en skjult proces.
• Reflekterende EXE-teknik : Kør EXE-filer fra hukommelsen i stedet for på drevet.
• Forsinkelsesmekanisme : Malwaren forsinker 14 dage før forbindelse til kommando- og kontrolserveren.

Mylobot udfører en række forskellige teknikker for at forblive skjult.

Anti-sandbox, anti-debug og anti-virtuelle maskine-teknikker forsøger at forhindre malware i at blive opdaget under scanning med anti-malware-software , samt forhindre sikkerhedsforskere i at isolere malware på en maskine. virtuelt eller sandbox-miljø til analyse og forskning .

Mylobot bruger Reflective EXE for at gøre det endnu sværere at opdage, fordi det ikke virker direkte på drevet, så det kan ikke analyseres af antivirus- eller anti-malware-software.

"Dens kodestruktur er meget kompleks, dette er en multi-threaded malware, hver tråd er ansvarlig for at implementere forskellige muligheder for malware," skrev Nipravsky i et indlæg. Og også nævnt: "Denne malware indeholder tre lag af filer, indlejret i hinanden, hvor hvert lag er ansvarlig for at udføre det næste. Det sidste lag bruger Reflective EXE-teknikken".

Sammen med anti-analyse og anti-detektionsteknikker kan Mylobot forsinke i 14 dage og derefter komme i kontakt med sin kommando- og kontrolserver. Når Mylobot opretter en forbindelse, slår botnettet Windows Defender og Windows Update fra , samt lukker nogle Windows Firewall-porte.

Mylobot søger efter og dræber andre typer malware

En af de interessante og sjældne funktioner ved denne Mylobot malware er, at den har evnen til at søge og ødelægge anden malware. I modsætning til anden malware er Mylobot klar til at ødelægge disse typer malware, hvis den findes på systemet. Den scanner systemets Application Data-mappe for almindelige malware-filer og -mapper. Hvis den finder en specifik fil eller proces, vil Mylobot "dræbe" den.

Så hvad gør Mylobot helt præcist?

Mylobots hovedfunktion er at kontrollere systemet, hvorfra angriberen har adgang til online login-oplysninger, systemfiler osv. Skadeniveauet afhænger af systemangriberen. Det kan forårsage stor skade, især når det trænger ind i virksomhedens miljø.

Mylobot er også knyttet til andre botnets såsom DorkBot, Ramdo og det berygtede Locky-netværk. Hvis Mylobot fungerer som en "kanal" for botnets og andre typer malware, så er dette en rigtig katastrofe.

Sådan imødegås Mylobot

Den dårlige nyhed er, at Mylobot har inficeret systemer i mere end to år. Dens kommando- og kontrolserver blev først fundet i november 2015. Mylobot undgik alle andre forskere og sikkerhedsfirmaer i lang tid, før de blev opdaget af Deep Instincts "deep learning" netværksforskningsværktøj.

Konventionelle anti-virus og anti-malware værktøjer kan ikke beskytte mod Mylobot i det mindste foreløbig. Nu hvor en Mylobot-prøve er tilgængelig, kan mange forskere og sikkerhedsfirmaer bruge den til at finde foranstaltninger mod denne malware.

I mellemtiden bør du tjekke vores liste over antivirus- og computersikkerhedsværktøjer . Selvom disse værktøjer ikke kan ødelægge Mylobot, kan de stoppe anden malware. Derudover kan du henvise til artiklen Fuldstændig fjern ondsindet software (malware) på Windows 10-computere .

Se mere:

• 9 ting at gøre, når du opdager, at din computer er inficeret med malware
• Hvor mange typer malware kender du, og ved du, hvordan du forebygger dem?
• 10 typiske typer malware