Mylobot: компютърен червей от ново поколение
Специалистите на компанията Deep Instinct оповестиха за появяването на нова ботнет мрежа, операторите на която употребяват зареждащата стратегия Mylobot за заразяване на компютърните устройства. Червеят може да зарежда след себе си разнообразни вредоносни стратегии – от програмен продукт за прикрит рандеман на криптовалута до кейлогъри и рансъмуер.
Главната специфичност на Mylobot е потреблението на огромен брой най-съвременни хакерски техники.
Mylobot може да дефинира, дали е стартиран в пясъчник, във виртуална мишина или в средата на дебъгер. Той може наложително да прекъсва процесите на Windows Defender и центъра за възобновяване на Windows. Червеят блокира и спомагателните портове в защитната стена на Windows.
Самите запаси на Mylobot са криптирани. Разпространяването на вредоносния код става без потребление на файлове. Вирусът употребява напълно ексцентрична техника за инжектиране на код, получила името Process Hollowing. С нейна помощ хакерите основават процеси, оставащи в режим на подготвеност, които могат да се скриват под действителните процеси. След като болести компютъра, Mylobot изчаква две седмици преди да се свърже с ръководещия сървър.
Структурата на кода на Mylobot е прекомерно комплицирана. Вирусът има три файлови пласта, вложени един в различен. Всеки следващ пласт дава отговор за осъществяването на идващия.
Освен зареждането на най-различни вирусни болести, Mylobot може да реализира DDoS офанзиви. При разбора, специалистите са забелязали, че той зарежда бекдора DorkBot.
Засега експертите се затрудняват да кажат по какъв метод се популяризира това знамение.
И още, Mylobot най-безжалостно се оправя с конкуренцията. Червеят ревизира досието %APPDATA% и засича съществуването на други компютърни вируси. Ако откри нещо сходно, Mylobot приключва процеса на вируса-конкурент и изтрива неговия exe файл.
Все още не се знае кой тъкмо е основал Mylobot. Но сложността, добре премислените логаритми и неповторимото държание подсказват, че създателите на този вирус напълно не са дилетанти.
Главната специфичност на Mylobot е потреблението на огромен брой най-съвременни хакерски техники.
Mylobot може да дефинира, дали е стартиран в пясъчник, във виртуална мишина или в средата на дебъгер. Той може наложително да прекъсва процесите на Windows Defender и центъра за възобновяване на Windows. Червеят блокира и спомагателните портове в защитната стена на Windows.
Самите запаси на Mylobot са криптирани. Разпространяването на вредоносния код става без потребление на файлове. Вирусът употребява напълно ексцентрична техника за инжектиране на код, получила името Process Hollowing. С нейна помощ хакерите основават процеси, оставащи в режим на подготвеност, които могат да се скриват под действителните процеси. След като болести компютъра, Mylobot изчаква две седмици преди да се свърже с ръководещия сървър.
Структурата на кода на Mylobot е прекомерно комплицирана. Вирусът има три файлови пласта, вложени един в различен. Всеки следващ пласт дава отговор за осъществяването на идващия.
Освен зареждането на най-различни вирусни болести, Mylobot може да реализира DDoS офанзиви. При разбора, специалистите са забелязали, че той зарежда бекдора DorkBot.
Засега експертите се затрудняват да кажат по какъв метод се популяризира това знамение.
И още, Mylobot най-безжалостно се оправя с конкуренцията. Червеят ревизира досието %APPDATA% и засича съществуването на други компютърни вируси. Ако откри нещо сходно, Mylobot приключва процеса на вируса-конкурент и изтрива неговия exe файл.
Все още не се знае кой тъкмо е основал Mylobot. Но сложността, добре премислените логаритми и неповторимото държание подсказват, че създателите на този вирус напълно не са дилетанти.
Източник: kaldata.com
КОМЕНТАРИ