Vad är Mylobot och hur fungerar denna skadliga programvara?

Under 2017 upptäckte säkerhetsforskare cirka 23 000 skadlig programvara varje dag, vilket är cirka 795 stycken skadlig programvara som produceras varje timme. Det låter hemskt, men i själva verket är majoriteten av dessa prover varianter av befintlig skadlig kod, den använder bara annan kod för att skapa en "ny" signatur. Men nyligen har en ny, mycket sofistikerad skadlig programvara dykt upp som heter Mylobot.

Vad är Mylobot?

Mylobot är en botnätskadlig programvara som innehåller ett stort antal skadliga avsikter. Tom Nipravsky, säkerhetsforskare för Deep Instinct, var den första som upptäckte denna skadliga programvara.

Denna skadliga programvara kombinerar en rad komplexa infektions- och fördunklingstekniker i ett kraftfullt paket. Här är teknikerna som används i Mylobot:

• Anti-virtual machine (VM)-teknik : Denna skadliga programvara undersöker datormiljön efter tecken på virtuell maskinanvändning . Om någon indikation finns på att användaren använder en virtuell maskin kommer den inte att köras.
• Anti-sandlådetekniker : Mycket lik antivirtuella maskintekniker.

Se mer: 7 bästa Sandbox-applikationer för Windows 10

• Anti-felsökningstekniker : Förhindra säkerhetsforskare från att effektivt arbeta med ett prov av skadlig programvara genom att ändra beteendet hos ett visst felsökningsprogram.
• Slå in det interna med en krypterad resursfil : Skydda skadlig programvaras interna kod med kryptering.
• Kodinjektion attackteknik : Mylobot kör anpassad kod för att attackera systemet, infekterar processer med denna kod för att komma åt och störa regelbunden verksamhet.
• Tomt handtag : Angriparen skapar en ny process i viloläge och ersätter den sedan med en dold process.
• Reflekterande EXE-teknik : Kör EXE-filer från minnet istället för på enheten.
• Fördröjningsmekanism : Skadlig programvara fördröjer 14 dagar innan den ansluts till kommando- och kontrollservern.

Mylobot utför en mängd olika tekniker för att hålla sig dold.

Anti-sandbox, anti-debug och anti-virtuella maskintekniker försöker förhindra skadlig programvara från att upptäckas under skanning med anti-malware-programvara , samt förhindra säkerhetsforskare från att isolera skadlig programvara på en maskin. virtuell eller sandlådemiljö för analys och forskning .

Mylobot använder Reflective EXE för att göra det ännu svårare att upptäcka eftersom det inte fungerar direkt på enheten, så det kan inte analyseras av antivirus- eller anti-malware-program.

"Dess kodstruktur är mycket komplex, det här är en flertrådig skadlig programvara, varje tråd är ansvarig för att implementera olika möjligheter för skadlig programvara", skrev Nipravsky i ett inlägg. Och nämnde också: "Denna skadliga programvara innehåller tre lager av filer, kapslade i varandra, där varje lager ansvarar för att köra nästa. Det sista lagret använder Reflective EXE-tekniken".

Tillsammans med antianalys- och antidetekteringstekniker kan Mylobot skjuta upp i 14 dagar och sedan ta kontakt med sin kommando- och kontrollserver. När Mylobot gör en anslutning stänger botnätet av Windows Defender och Windows Update , samt stänger vissa Windows-brandväggsportar.

Mylobot söker efter och dödar andra typer av skadlig programvara

En av de intressanta och sällsynta egenskaperna hos denna Mylobot-skadlig programvara är att den har förmågan att söka och förstöra annan skadlig kod. Till skillnad från annan skadlig programvara är Mylobot redo att förstöra dessa typer av skadlig programvara om den finns på systemet. Den skannar systemets Application Data-mapp efter vanliga skadliga filer och mappar. Om den hittar någon specifik fil eller process kommer Mylobot att "döda" den.

Så vad exakt gör Mylobot?

Mylobots huvudsakliga funktion är att kontrollera systemet, från vilket angriparen har tillgång till online-inloggningsinformation, systemfiler etc. Skadenivån beror på systemangriparen. Det kan orsaka stor skada, särskilt när det penetrerar företagsmiljön.

Mylobot är också länkad till andra botnät som DorkBot, Ramdo och det ökända Locky-nätverket. Om Mylobot fungerar som en "kanal" för botnät och andra typer av skadlig programvara, så är detta en riktig katastrof.

Hur man motverkar Mylobot

Den dåliga nyheten är att Mylobot har infekterat system i mer än två år. Dess kommando- och kontrollserver hittades först i november 2015. Mylobot gäckade länge för alla andra forskare och säkerhetsföretag innan de upptäcktes av Deep Instincts nätverksforskningsverktyg "deep learning".

Konventionella antivirus- och anti-malware-verktyg kan inte skydda mot Mylobot åtminstone för närvarande. Nu när ett Mylobot-prov är tillgängligt kan många forskare och säkerhetsföretag använda det för att hitta åtgärder mot denna skadliga programvara.

Under tiden bör du kolla in vår lista över antivirus- och datorsäkerhetsverktyg . Även om dessa verktyg inte kan förstöra Mylobot, kan de stoppa annan skadlig programvara. Dessutom kan du hänvisa till artikeln Ta bort skadlig programvara helt (skadlig programvara) på Windows 10-datorer .

Se mer:

• 9 saker att göra när du upptäcker att din dator är infekterad med skadlig programvara
• Hur många typer av skadlig programvara känner du till och vet du hur du kan förhindra dem?
• 10 typiska typer av skadlig programvara