В Сети обнаружен новый ботнет

Discussion in 'Мировые новости. Обсуждения.' started by seostock, 21 Jun 2018.

  1. seostock

    seostock Elder - Старейшина

    Joined:
    2 Jul 2010
    Messages:
    2,626
    Likes Received:
    6,490
    Reputations:
    51
    Загрузчик Mylobot оснащен разнообразными средствами предотвращения анализа и обнаружения.

    Исследователи из компании Deep Instinctсообщилио появлении нового ботнета, операторы которого используют загрузчик Mylobot для заражения устройств различным вредоносным ПО – от майнеров криптовалюты до кейлогеров, банковских троянов и программ-вымогателей. Особенность Mylobot заключается в использовании уникального набора самых современных техник.

    В частности, Mylobot оснащен разнообразными средствами предотвращения анализа и обнаружения. К примеру, он умеет определять свой запуск в песочнице, виртуальной машине и под отладчиком, может принудительно завершать процессы Windows Defender и Центра обновлений Windows, а также блокировать дополнительные порты в межсетевом экране Windows.

    Файл ресурсов Mylobot зашифрован, выполнение вредоносного кода происходит бесфайловым методом. Вредонос также использует нестандартную технику внедрения кода, называемую Process Hollowing (с ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть). Заразив устройство, Mylobot выжидает две недели прежде чем связаться с управляющим сервером.

    Структура кода Mylobot довольно сложная. Вредонос содержит три слоя файлов, вложенных один в другой, причем каждый слой отвечает за исполнение следующего.

    Помимо загрузки вредоносного ПО, Mylobot также может использоваться для осуществления DDoS-атак. В кампании, обнаруженной исследователями, Mylobot загружал на компьютеры жертв бэкдор DorkBot. В настоящее время эксперты затрудняются сказать, каким образом распространяется вредонос.

    Загрузчик безжалостно расправляется с конкурентами на инфицированных устройствах, сверяя список запущенных процессов с содержимым папки %APPDATA%, куда обычно сохраняются вредоносные файлы. Выявив совпадение, Mylobot завершает процесс и удаляет соответствующий exe-файл.

    Специалисты пока не могут сказать, кто стоит за Mylobot, но сложность и уникальное поведение говорят о том, что авторы вредоноса отнюдь не аматоры.

    https://www.securitylab.ru/news/494038.php
     
    #1 seostock, 21 Jun 2018
    Turanchocks_ and CKAP like this.
  2. CKAP

    CKAP Well-Known Member

    Joined:
    9 Oct 2015
    Messages:
    653
    Likes Received:
    2,862
    Reputations:
    8
    Это не ново. А вот все остальное очень даже интересно. Норм новость.
     
    #2 CKAP, 21 Jun 2018
(You must log in or sign up to post here.)