Що таке Mylobot і як працює ця шкідлива програма?

У 2017 році дослідники безпеки щодня виявляли близько 23 000 зразків зловмисного програмного забезпечення, що становить близько 795 одиниць зловмисного програмного забезпечення, створюваного щогодини. Звучить жахливо, але насправді більшість цих зразків є варіаціями існуючого шкідливого програмного забезпечення, воно просто використовує інший код для створення «нового» підпису. Однак нещодавно з’явилося нове, дуже складне шкідливе програмне забезпечення під назвою Mylobot.

Що таке Mylobot?

Mylobot — це зловмисне програмне забезпечення ботнету , яке містить велику кількість зловмисних намірів. Том Ніправскі, дослідник безпеки для Deep Instinct, був першим, хто виявив цю шкідливу програму.

Це зловмисне програмне забезпечення поєднує низку складних методів зараження та обфускації в одному потужному пакеті. Ось методи, які використовуються в Mylobot:

• Техніка захисту від віртуальної машини (VM) : це шкідливе програмне забезпечення перевіряє комп’ютерне середовище на наявність ознак використання віртуальної машини . Якщо буде знайдено будь-яку ознаку того, що користувач використовує віртуальну машину, вона не запуститься.
• Методи захисту від пісочниці : дуже схожі на методи захисту від віртуальних машин.

Дивіться більше: 7 найкращих програм Sandbox для Windows 10

• Техніки запобігання налагодженню : перешкоджайте дослідникам безпеки ефективно працювати над зразком зловмисного програмного забезпечення, змінюючи поведінку певної програми налагодження.
• Оберніть внутрішні елементи зашифрованим файлом ресурсів : захистіть внутрішній код шкідливого ПЗ за допомогою шифрування.
• Техніка атаки з ін’єкцією коду : Mylobot запускає спеціальний код для атаки на систему, заражаючи процеси цим кодом, щоб отримати доступ і порушити регулярні операції.
• Порожній маркер : зловмисник створює новий процес у стані призупинення, а потім замінює його прихованим процесом.
• Техніка Reflective EXE : запускайте файли EXE з пам’яті, а не на диску.
• Механізм затримки : зловмисне програмне забезпечення затримується на 14 днів перед підключенням до сервера команд і керування.

Mylobot використовує різні прийоми, щоб залишатися прихованими.

Методи захисту від ізольованого програмного середовища, захисту від налагодження та захисту від віртуальної машини намагаються запобігти виявленню зловмисного програмного забезпечення під час сканування за допомогою програмного забезпечення для захисту від зловмисного програмного забезпечення, а також запобігти дослідникам безпеки ізолювати шкідливе програмне забезпечення на машині. віртуальне або пісочне середовище для аналізу та дослідження .

Mylobot використовує Reflective EXE, щоб зробити його ще важчим для виявлення, оскільки він не працює безпосередньо на диску, тому його не можна проаналізувати антивірусним або антишкідливим програмним забезпеченням.

«Структура його коду дуже складна, це багатопотокове шкідливе програмне забезпечення, кожен потік відповідає за реалізацію різних можливостей шкідливого програмного забезпечення», — написав Ніправський у дописі. А також згадується: «Ця шкідлива програма містить три рівні файлів, вкладених один в одного, де кожен рівень відповідає за виконання наступного. Кінцевий шар використовує техніку Reflective EXE».

Разом із методами антианалізу та антивиявлення, Mylobot може затримати на 14 днів, а потім встановити зв’язок зі своїм командним і контрольним сервером. Коли Mylobot встановлює з’єднання, ботнет вимикає Windows Defender і Windows Update , а також закриває деякі порти брандмауера Windows.

Mylobot шукає та знищує інші типи шкідливих програм

Однією з цікавих і рідкісних особливостей цього зловмисного програмного забезпечення Mylobot є те, що воно має здатність шукати та знищувати інші зловмисні програми. На відміну від інших шкідливих програм, Mylobot готовий знищити ці типи шкідливих програм, якщо вони присутні в системі. Він сканує системну папку Application Data на наявність поширених файлів і папок шкідливого програмного забезпечення. Якщо він знайде певний файл або процес, Mylobot «вб’є» його.

Отже, що саме робить Mylobot?

Основною функцією Mylobot є контроль системи, з якої зловмисник має доступ до онлайн-реєстраційної інформації, системних файлів тощо. Рівень шкоди залежить від системи зловмисника. Це може завдати великої шкоди, особливо при проникненні в корпоративне середовище.

Mylobot також пов’язаний з іншими ботнетами, такими як DorkBot, Ramdo та сумнозвісна мережа Locky. Якщо Mylobot діє як «провідник» для ботнетів та інших типів шкідливих програм, то це справжня катастрофа.

Як протидіяти Mylobot

Погана новина полягає в тому, що Mylobot заражає системи вже більше двох років. Його командно-контрольний сервер був вперше знайдений у листопаді 2015 року. Mylobot довгий час вислизав від усіх інших дослідників і компаній безпеки, перш ніж був виявлений інструментом мережевого дослідження «глибокого навчання» Deep Instinct.

Звичайні засоби захисту від вірусів і шкідливих програм не можуть захистити від Mylobot, принаймні на даний момент. Тепер, коли зразок Mylobot доступний, багато дослідників і охоронних компаній можуть використовувати його, щоб знайти заходи проти цього шкідливого програмного забезпечення.

Тим часом вам слід ознайомитися з нашим списком антивірусних засобів і засобів безпеки комп’ютера . Хоча ці інструменти не можуть знищити Mylobot, вони можуть зупинити інші шкідливі програми. Крім того, ви можете переглянути статтю Повне видалення шкідливого програмного забезпечення (зловмисного ПЗ) на комп’ютерах з Windows 10 .

Побачити більше:

• 9 речей, які потрібно зробити, якщо ви виявите, що ваш комп’ютер заражений шкідливим програмним забезпеченням
• Скільки видів шкідливих програм ви знаєте і чи знаєте ви, як їм запобігти?
• 10 типових типів шкідливих програм