 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
19 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Новый, очень продвинутый Windows-зловред вооружен разнообразными средствами предотвращения анализа и обнаружения.
Исследователи из ИБ-компании Deep Instinct обнаружили в сетях своего клиента новый, очень продвинутый Windows-зловред, основным назначением которого является загрузка других вредоносных программ.
По свидетельству экспертов, новобранец, нареченный ими Mylobot, вооружен разнообразными средствами предотвращения анализа и обнаружения. Так, он умеет определять свой запуск в песочнице, виртуальной машине и под отладчиком; принудительно завершать процессы Windows Defender и Windows Update; блокировать дополнительные порты в брандмауэре Windows.
Файл ресурсов Mylobot зашифрован, выполнение вредоносного кода происходит бесфайловым методом. Данный зловред также владеет нестандартной техникой внедрения кода — process hollowing. Чтобы не выдать свое присутствие интернет-связью, обосновавшийся на компьютере бот выжидает две недели, прежде чем доложить об успешном заражении на C&C-сервер.
“Это уникальный набор самых современных техник, — заявил в комментарии для Dark Reading Арик Соломон (Arik Solomon), вице-президент Deep Instinct по исследованиям и разработкам. — Все они известны и по отдельности используются некоторыми зловредами, но подобная комбинация не имеет себе равных”.
Выполняя функции даунлоудера, Mylobot может закачать на машину жертвы любую полезную нагрузку — спамбот, DDoS-зловред, кейлоггер, банковский троян. Конкурентов этот загрузчик не терпит и беспощадно от них избавляется, сверяя список запущенных процессов с содержимым папки %APPDATA%, куда обычно сохраняются вредоносные файлы. Обнаружив совпадение, Mylobot прибивает процесс и удаляет соответствующий exe-файл.
Судя по всему, авторы этого зловреда надумали создать ботнет, который можно будет сдавать в аренду распространителям другого вредоносного ПО. Кем написан новый бот, пока непонятно; известно лишь, что Mylobot фиксирует раскладку клавиатуры и, обнаружив азиатские кодировки, отменяет исполнение.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
