УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > ИНФО > Мировые новости. Обсуждения.
В Сети обнаружен новый ботнет

Опции темы

Поиск в этой теме

Опции просмотра

21.06.2018, 15:21

seostock

Guest

Сообщений: n/a

Провел на форуме:
507892

Репутация: 51

Загрузчик Mylobot оснащен разнообразными средствами предотвращения анализа и обнаружения.

Исследователи из компании Deep Instinctсообщилио появлении нового ботнета, операторы которого используют загрузчик Mylobot для заражения устройств различным вредоносным ПО – от майнеров криптовалюты до кейлогеров, банковских троянов и программ-вымогателей. Особенность Mylobot заключается в использовании уникального набора самых современных техник.

В частности, Mylobot оснащен разнообразными средствами предотвращения анализа и обнаружения. К примеру, он умеет определять свой запуск в песочнице, виртуальной машине и под отладчиком, может принудительно завершать процессы Windows Defender и Центра обновлений Windows, а также блокировать дополнительные порты в межсетевом экране Windows.

Файл ресурсов Mylobot зашифрован, выполнение вредоносного кода происходит бесфайловым методом. Вредонос также использует нестандартную технику внедрения кода, называемую Process Hollowing (с ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть). Заразив устройство, Mylobot выжидает две недели прежде чем связаться с управляющим сервером.

Структура кода Mylobot довольно сложная. Вредонос содержит три слоя файлов, вложенных один в другой, причем каждый слой отвечает за исполнение следующего.

Помимо загрузки вредоносного ПО, Mylobot также может использоваться для осуществления DDoS-атак. В кампании, обнаруженной исследователями, Mylobot загружал на компьютеры жертв бэкдор DorkBot. В настоящее время эксперты затрудняются сказать, каким образом распространяется вредонос.

Загрузчик безжалостно расправляется с конкурентами на инфицированных устройствах, сверяя список запущенных процессов с содержимым папки %APPDATA%, куда обычно сохраняются вредоносные файлы. Выявив совпадение, Mylobot завершает процесс и удаляет соответствующий exe-файл.

Специалисты пока не могут сказать, кто стоит за Mylobot, но сложность и уникальное поведение говорят о том, что авторы вредоноса отнюдь не аматоры.

https://www.securitylab.ru/news/494038.php