Kas yra Mylobot ir kaip ši kenkėjiška programa veikia?

2017 m. saugumo tyrinėtojai kiekvieną dieną aptikdavo apie 23 000 kenkėjiškų programų pavyzdžių, tai yra apie 795 kenkėjiškos programos kas valandą. Skamba siaubingai, bet iš tikrųjų dauguma šių pavyzdžių yra esamų kenkėjiškų programų variantai, jie tiesiog naudoja skirtingą kodą, kad sukurtų „naują“ parašą. Tačiau neseniai pasirodė nauja, labai sudėtinga kenkėjiška programa, pavadinta Mylobot.

Kas yra Mylobot?

Mylobot yra botneto kenkėjiška programa , kurioje yra daug kenkėjiškų ketinimų. Tomas Nipravskis, Deep Instinct saugumo tyrinėtojas, pirmasis atrado šią kenkėjišką programą.

Ši kenkėjiška programa sujungia daugybę sudėtingų užkrėtimo ir užmaskavimo metodų viename galingame pakete. Štai „Mylobot“ naudojami metodai:

• Anti-virtualios mašinos (VM) technika : ši kenkėjiška programa tiria kompiuterio aplinką, ar nėra virtualios mašinos naudojimo požymių . Jei randama kokių nors požymių, kad vartotojas naudoja virtualią mašiną, ji nebus paleista.
• Anti-smėlio dėžės metodai : labai panašūs į anti-virtualių mašinų metodus.

Žr. daugiau: 7 geriausios „Sandbox“ programos, skirtos „Windows 10“.

• Apsaugos nuo derinimo būdai : neleiskite saugumo tyrinėtojams efektyviai dirbti su kenkėjiškų programų pavyzdžiu, pakeisdami tam tikros derinimo programos veikimą.
• Apvyniokite vidines dalis šifruotu išteklių failu : apsaugokite kenkėjiškos programos vidinį kodą šifruodami.
• Kodo įpurškimo atakos technika : Mylobot paleidžia pasirinktinį kodą, kad atakuotų sistemą, užkrėsdamas procesus šiuo kodu, kad galėtų pasiekti ir sutrikdyti įprastas operacijas.
• Tuščia rankena : užpuolikas sukuria naują sustabdytos būsenos procesą, tada pakeičia jį paslėptu procesu.
• Atspindinčioji EXE technika : paleiskite EXE failus iš atminties, o ne iš disko.
• Delsimo mechanizmas : kenkėjiška programa vėluoja 14 dienų, kol prisijungia prie komandų ir valdymo serverio.

Mylobot atlieka įvairius metodus, kad liktų paslėptas.

Apsaugos nuo smėlio dėžės, apsaugos nuo derinimo ir antivirtualios mašinos metodai bando neleisti aptikti kenkėjiškų programų nuskaitant su kenkėjiškų programų programine įranga , taip pat neleidžia saugos tyrėjams išskirti kompiuteryje esančias kenkėjiškas programas. Virtuali arba smėlio dėžės aplinka analizei ir tyrimams .

Mylobot naudoja Reflective EXE, kad jį būtų dar sunkiau aptikti, nes jis neveikia tiesiogiai diske, todėl jo negali analizuoti antivirusinė ar kenkėjiškų programų programinė įranga.

„Jo kodo struktūra yra labai sudėtinga, tai yra kelių gijų kenkėjiška programa, kiekviena gija yra atsakinga už skirtingų kenkėjiškos programos galimybių įgyvendinimą“, – pranešime rašė Nipravsky. Taip pat paminėjo: „Šioje kenkėjiškoje programoje yra trys failų sluoksniai, sudėti vienas į kitą, kur kiekvienas sluoksnis yra atsakingas už kito paleidimą. Paskutiniame sluoksnyje naudojama Reflective EXE technika".

Kartu su antianalizės ir apsaugos nuo aptikimo metodais, Mylobot gali atidėti 14 dienų, tada susisiekti su savo komandų ir valdymo serveriu. Kai Mylobot užmezga ryšį, robotų tinklas išjungia „Windows Defender “ ir „Windows Update“ , taip pat uždaro kai kuriuos „Windows“ užkardos prievadus.

Mylobot ieško ir naikina kitų tipų kenkėjiškas programas

Viena iš įdomių ir retų šios „Mylobot“ kenkėjiškos programos savybių yra ta, kad ji turi galimybę ieškoti ir sunaikinti kitas kenkėjiškas programas. Skirtingai nuo kitų kenkėjiškų programų, Mylobot yra pasirengęs sunaikinti tokio tipo kenkėjiškas programas, jei jos yra sistemoje. Jis nuskaito sistemos programos duomenų aplanką, ar nėra įprastų kenkėjiškų programų failų ir aplankų. Jei randa kokį nors konkretų failą ar procesą, „Mylobot“ jį „nužudys“.

Taigi ką tiksliai daro Mylobot?

Pagrindinė Mylobot funkcija yra valdyti sistemą, iš kurios užpuolikas turi prieigą prie internetinės prisijungimo informacijos, sistemos failų ir kt. Žalos lygis priklauso nuo sistemos užpuoliko. Tai gali padaryti didelę žalą, ypač prasiskverbdama į įmonės aplinką.

„Mylobot“ taip pat yra susietas su kitais robotų tinklais, tokiais kaip „DorkBot“, „Ramdo“ ir liūdnai pagarsėjusiu „Locky“ tinklu. Jei „Mylobot“ veikia kaip „botnetų“ ir kitų tipų kenkėjiškų programų „kanalas“, tai yra tikra nelaimė.

Kaip kovoti su Mylobot

Bloga žinia ta, kad Mylobot sistemas užkrečia daugiau nei dvejus metus. Jo komandų ir valdymo serveris pirmą kartą buvo rastas 2015 m. lapkritį. Mylobot ilgą laiką vengė visų kitų tyrinėtojų ir saugumo kompanijų, kol jį atrado „Deep Instinct“ „gilaus mokymosi“ tinklo tyrimų įrankis.

Įprasti antivirusiniai ir kenkėjiškų programų įrankiai bent jau kol kas negali apsaugoti nuo Mylobot. Dabar, kai yra prieinamas „Mylobot“ pavyzdys, daugelis tyrėjų ir saugos įmonių gali jį naudoti ieškodami priemonių nuo šios kenkėjiškos programos.

Tuo tarpu turėtumėte peržiūrėti mūsų antivirusinių ir kompiuterių saugos įrankių sąrašą . Nors šie įrankiai negali sunaikinti Mylobot, jie gali sustabdyti kitas kenkėjiškas programas. Be to, galite peržiūrėti straipsnį Visiškas kenkėjiškos programinės įrangos (kenkėjiškų programų) pašalinimas iš „Windows 10“ kompiuterių .

Žiūrėti daugiau:

• 9 dalykai, kuriuos reikia padaryti, kai nustatote, kad jūsų kompiuteris yra užkrėstas kenkėjiška programa
• Kiek kenkėjiškų programų tipų žinote ir ar žinote, kaip jų išvengti?
• 10 tipiškų kenkėjiškų programų tipų