Mikä Mylobot on ja miten tämä haittaohjelma toimii?

Mikä Mylobot on ja miten tämä haittaohjelma toimii?

Vuonna 2017 tietoturvatutkijat havaitsivat noin 23 000 haittaohjelmanäytettä päivittäin, mikä on noin 795 kappaletta haittaohjelmia, joita tuotetaan joka tunti. Se kuulostaa kamalalta, mutta itse asiassa suurin osa näistä näytteistä on muunnelmia olemassa olevista haittaohjelmista, se vain käyttää eri koodia luodakseen "uuden" allekirjoituksen. Äskettäin on kuitenkin ilmaantunut uusi, erittäin hienostunut haittaohjelma nimeltään Mylobot.

Mikä on Mylobot?

Mylobot on botnet -haittaohjelma , joka sisältää suuren määrän haitallisia tavoitteita. Tom Nipravsky, Deep Instinctin tietoturvatutkija, oli ensimmäinen, joka löysi tämän haittaohjelman.

Mikä Mylobot on ja miten tämä haittaohjelma toimii?

Tämä haittaohjelma yhdistää joukon monimutkaisia ​​infektio- ja hämärtymistekniikoita yhdessä tehokkaassa paketissa. Tässä ovat Mylobotissa käytetyt tekniikat:

  • Anti-Virtual Machine (VM) -tekniikka : Tämä haittaohjelma tutkii tietokoneympäristön merkkejä virtuaalikoneen käytöstä . Jos havaitaan viitteitä siitä, että käyttäjä käyttää virtuaalikonetta, sitä ei suoriteta.
  • Hiekkalaatikon vastaiset tekniikat : Hyvin samankaltaiset kuin virtuaalikoneen vastaiset tekniikat.

Katso lisää: 7 parasta hiekkalaatikkosovellusta Windows 10:lle

  • Virheenkorjauksen estotekniikat : Estä tietoturvatutkijoita työskentelemästä tehokkaasti haittaohjelmanäytteen parissa muuttamalla tietyn virheenkorjausohjelman toimintaa.
  • Kääri sisäosat salatulla resurssitiedostolla : Suojaa haittaohjelman sisäinen koodi salauksella.
  • Koodin lisäyshyökkäystekniikka : Mylobot käyttää mukautettua koodia hyökätäkseen järjestelmään ja saastuttaa prosesseja tällä koodilla päästäkseen ja häiritsemään normaalia toimintaa.
  • Tyhjä kahva : Hyökkääjä luo uuden prosessin keskeytetyssä tilassa ja korvaa sen sitten piilotetulla prosessilla.
  • Heijastava EXE-tekniikka : Suorita EXE-tiedostoja muistista aseman sijaan.
  • Viivemekanismi : Haittaohjelma viivästyy 14 päivää ennen yhteyden muodostamista komento- ja ohjauspalvelimeen.

Mylobot suorittaa erilaisia ​​tekniikoita pysyäkseen piilossa.

Anti-hiekkalaatikon, virheenkorjauksen ja virtuaalisen koneen vastaiset tekniikat yrittävät estää haittaohjelmien havaitsemisen haittaohjelmien torjuntaohjelmistolla tehtävän tarkistuksen aikana sekä estävät tietoturvatutkijat eristämästä haittaohjelmia koneelta. Virtuaalinen tai hiekkalaatikkoympäristö analysointia ja tutkimusta varten .

Mylobot käyttää Reflective EXE:tä tehdäkseen sen havaitsemisen entistä vaikeammaksi, koska se ei toimi suoraan asemassa, joten virustentorjunta- tai haittaohjelmien torjuntaohjelmisto ei pysty analysoimaan sitä.

"Sen koodirakenne on erittäin monimutkainen, tämä on monisäikeinen haittaohjelma, jokainen säie vastaa haittaohjelman erilaisten ominaisuuksien toteuttamisesta", Nipravsky kirjoitti viestissä. Ja mainitsi myös: "Tämä haittaohjelma sisältää kolme kerrosta tiedostoja, jotka ovat sisäkkäisiä ja joista jokainen on vastuussa seuraavan suorittamisesta. Viimeinen kerros käyttää Reflective EXE -tekniikkaa."

Anti-analyysin ja havainnoinnin estotekniikoiden lisäksi Mylobot voi viivästyttää 14 päivää ja ottaa sitten yhteyttä komento- ja ohjauspalvelimeensa. Kun Mylobot muodostaa yhteyden, bottiverkko sammuttaa Windows Defenderin ja Windows Updaten sekä sulkee joitain Windowsin palomuurin portteja.

Mylobot etsii ja tappaa muun tyyppisiä haittaohjelmia

Yksi tämän Mylobot-haittaohjelman mielenkiintoisista ja harvinaisista ominaisuuksista on, että sillä on kyky etsiä ja tuhota muita haittaohjelmia. Toisin kuin muut haittaohjelmat, Mylobot on valmis tuhoamaan tämäntyyppiset haittaohjelmat, jos niitä on järjestelmässä. Se tarkistaa järjestelmän Application Data -kansiosta yleisiä haittaohjelmatiedostoja ja kansioita. Jos se löytää tietyn tiedoston tai prosessin, Mylobot "tappaa" sen.

Mitä Mylobot siis tarkalleen tekee?

Mylobotin päätehtävänä on hallita järjestelmää, josta hyökkääjällä on pääsy online-kirjautumistietoihin, järjestelmätiedostoihin jne. Vahingon taso riippuu järjestelmän hyökkääjästä. Se voi aiheuttaa suurta vahinkoa etenkin tunkeutuessaan yritysympäristöön.

Mylobot on myös linkitetty muihin bottiverkkoihin, kuten DorkBot, Ramdo ja surullisen kuuluisa Locky-verkko. Jos Mylobot toimii botnet-verkkojen ja muiden haittaohjelmien "kanavana", tämä on todellinen katastrofi.

Kuinka torjua Mylobot

Huono uutinen on, että Mylobot on tartuttanut järjestelmiä yli kahden vuoden ajan. Sen komento- ja ohjauspalvelin löydettiin ensimmäisen kerran marraskuussa 2015. Mylobot vältti kaikkia muita tutkijoita ja tietoturvayrityksiä pitkään ennen kuin Deep Instinctin "syvän oppimisen" verkkotutkimustyökalu löysi sen.

Perinteiset virus- ja haittaohjelmat eivät pysty suojaamaan Mylobotilta ainakaan toistaiseksi. Nyt kun Mylobot-näyte on saatavilla, monet tutkijat ja tietoturvayritykset voivat käyttää sitä löytääkseen toimenpiteitä tätä haittaohjelmaa vastaan.

Sillä välin sinun kannattaa tutustua virustorjunta- ja tietoturvatyökalujen luetteloomme . Vaikka nämä työkalut eivät voi tuhota Mylobotia, ne voivat estää muita haittaohjelmia. Lisäksi voit tutustua artikkeliin Haittaohjelmien (haittaohjelmien) poistaminen kokonaan Windows 10 -tietokoneista .

Katso lisää:


Mitä ovat FAT32-, NTFS- ja exFAT-muodot?

Mitä ovat FAT32-, NTFS- ja exFAT-muodot?

NTFS, FAT32, exFAT ovat tiedostojärjestelmiä Windowsissa, mutta erityisesti mikä on NTFS, mikä on FAT32, mikä on exFAT, mitkä ovat niiden yhtäläisyydet ja erot? Pyydämme lukijoita tutustumaan tähän artikkeliin.

Lisätietoja Telnet-protokollasta

Lisätietoja Telnet-protokollasta

Telnet on komentoriviprotokolla, jota käytetään eri laitteiden, kuten palvelimien, tietokoneiden, reitittimien, kytkimien, kameroiden ja palomuurien etähallintaan.

Mitä on sisäänkirjautuminen ilman salasanaa? Onko se todella turvallista?

Mitä on sisäänkirjautuminen ilman salasanaa? Onko se todella turvallista?

Jos et käytä salasanaa, miten suojaat tilisi? Mitä ovat salasanattomat kirjautumiset ja ovatko ne turvallisia? Selvitetään Quantrimang.com seuraavan artikkelin kautta!

Mitä on tietojen korruptio?

Mitä on tietojen korruptio?

Kun joku keskustelee arkaluonteisten tietojen säilyttämisestä, kuulet luultavasti termin "datan korruptio". Mitä on "tietojen korruptio" ja kuinka voit korjata tiedostosi, jos jokin menee pieleen?

Lisätietoja Cloud Firewallista

Lisätietoja Cloud Firewallista

Ympärillämme olevan teknologian kehittyessä palomuurit on myös tuotava pilveen pysyäkseen trendin mukana. Siksi termi pilvipalomuuri syntyi.

Mikä on Code-Signed-haittaohjelma ja kuinka välttää se?

Mikä on Code-Signed-haittaohjelma ja kuinka välttää se?

Koodiallekirjoitus on tapa käyttää sertifikaattipohjaista digitaalista allekirjoitusta ohjelmistolle, jotta käyttöjärjestelmä ja käyttäjät voivat määrittää sen turvallisuuden. Mikä on koodiallekirjoitettu haittaohjelma ja miten se toimii?

13 syytä, miksi sinun pitäisi käyttää VPN:ää

13 syytä, miksi sinun pitäisi käyttää VPN:ää

Virtuaaliset yksityisverkot ovat edullisia, helppokäyttöisiä, ja ne ovat tärkeä osa tietokoneiden ja älypuhelinten asetuksia. Palomuurin ja virusten/haittaohjelmien torjuntaratkaisun lisäksi sinun tulee asentaa VPN, jotta jokainen verkossa viettämäsi hetki on täysin yksityinen.

Mikä Mylobot on ja miten tämä haittaohjelma toimii?

Mikä Mylobot on ja miten tämä haittaohjelma toimii?

Vuonna 2017 tietoturvatutkijat havaitsivat noin 23 000 haittaohjelmanäytettä päivittäin, mikä on noin 795 kappaletta haittaohjelmia, joita tuotetaan joka tunti. Äskettäin ilmestyi uusi, erittäin hienostunut haittaohjelma nimeltään Mylobot.

Opi tietoverkkojen desibeleistä (dB).

Opi tietoverkkojen desibeleistä (dB).

Desibeli (dB) on vakiomittayksikkö, jota käytetään langallisen ja langattoman verkon signaalien voimakkuuden mittaamiseen.

Mikä on Catalyst Control Center (CCC.exe)?

Mikä on Catalyst Control Center (CCC.exe)?

Catalyst Control Center on ohjaimen mukana tuleva apuohjelma, joka auttaa AMD-näytönohjainkortteja toimimaan. Se näkyy käyttäjän Task Managerissa nimellä CCC.exe, ja useimmissa tapauksissa sinun ei tarvitse koskaan huolehtia tästä.