Nel 2017, i ricercatori di sicurezza hanno rilevato circa 23.000 campioni di malware ogni giorno, ovvero circa 795 malware prodotti ogni ora. Sembra terribile, ma in realtà la maggior parte di questi campioni sono variazioni del malware esistente, utilizzano semplicemente un codice diverso per creare una "nuova" firma. Tuttavia, recentemente è emerso un nuovo malware molto sofisticato chiamato Mylobot.
Cos'è Mylobot?
Mylobot è un malware botnet che contiene un gran numero di intenti dannosi. Tom Nipravsky, ricercatore di sicurezza per Deep Instinct, è stato il primo a scoprire questo malware.
Questo malware combina una serie di complesse tecniche di infezione e offuscamento in un unico potente pacchetto. Ecco le tecniche utilizzate in Mylobot:
Scopri di più: 7 migliori applicazioni Sandbox per Windows 10
Mylobot esegue una varietà di tecniche per rimanere nascosto.
Le tecniche anti-sandbox, anti-debug e anti-macchina virtuale tentano di impedire il rilevamento di malware durante la scansione con software anti-malware , nonché di impedire ai ricercatori di sicurezza di isolare malware su una macchina in un ambiente virtuale o sandbox per l'analisi e la ricerca .
Mylobot utilizza Reflective EXE per renderlo ancora più difficile da rilevare perché non funziona direttamente sull'unità, quindi non può essere analizzato da software antivirus o antimalware.
"La sua struttura del codice è molto complessa, si tratta di un malware multi-thread, ogni thread è responsabile dell'implementazione di diverse funzionalità del malware", ha scritto Nipravsky in un post. E ha anche menzionato: “Questo malware contiene tre livelli di file, annidati uno nell’altro, dove ogni livello è responsabile dell’esecuzione di quello successivo. Lo strato finale utilizza la tecnica Reflective EXE".
Insieme alle tecniche anti-analisi e anti-rilevamento, Mylobot può ritardare di 14 giorni per poi entrare in contatto con il suo server di comando e controllo. Quando Mylobot stabilisce una connessione, la botnet disattiva Windows Defender e Windows Update , oltre a chiudere alcune porte di Windows Firewall.
Mylobot cerca e uccide altri tipi di malware
Una delle caratteristiche interessanti e rare di questo malware Mylobot è che ha la capacità di cercare e distruggere altri malware. A differenza di altri malware, Mylobot è pronto a distruggere questi tipi di malware se presenti nel sistema. Esegue la scansione della cartella Dati applicazioni del sistema alla ricerca di file e cartelle malware comuni. Se trova un file o un processo specifico, Mylobot lo "ucciderà".
Quindi cosa fa esattamente Mylobot?
La funzione principale di Mylobot è controllare il sistema da cui l'aggressore ha accesso alle informazioni di accesso online, ai file di sistema, ecc. Il livello del danno dipende dall'aggressore del sistema. Può causare gravi danni soprattutto quando penetra nell’ambiente aziendale.
Mylobot è anche collegato ad altre botnet come DorkBot, Ramdo e la famigerata rete Locky. Se Mylobot funge da "condotto" per botnet e altri tipi di malware, allora è un vero disastro.
Come contrastare Mylobot
La cattiva notizia è che Mylobot infetta i sistemi da più di due anni. Il suo server di comando e controllo è stato trovato per la prima volta nel novembre 2015. Mylobot è sfuggito a tutti gli altri ricercatori e società di sicurezza per molto tempo prima di essere scoperto dallo strumento di ricerca di rete "deep learning" di Deep Instinct.
Gli strumenti antivirus e antimalware convenzionali non sono in grado di proteggere da Mylobot, almeno per il momento. Ora che è disponibile un campione di Mylobot, molti ricercatori e società di sicurezza possono utilizzarlo per trovare misure contro questo malware.
Nel frattempo, dovresti consultare il nostro elenco di antivirus e strumenti per la sicurezza informatica . Sebbene questi strumenti non possano distruggere Mylobot, possono bloccare altri malware. Inoltre, puoi fare riferimento all'articolo Rimuovere completamente il software dannoso (malware) sui computer Windows 10 .
Vedi altro:
Catalyst Control Center è un'utilità fornita con il driver che aiuta il funzionamento delle schede video AMD. Appare come CCC.exe nel Task Manager dell'utente e nella maggior parte dei casi non dovrai mai preoccuparti di questo.
La firma del codice è un metodo per utilizzare una firma digitale basata su certificato per un pezzo di software in modo che il sistema operativo e gli utenti possano determinarne la sicurezza. Che cos'è il malware con firma codice e come funziona?
Man mano che la tecnologia che ci circonda evolve, anche i firewall devono essere portati nel cloud per stare al passo con la tendenza. Ecco perché è nato il termine firewall cloud.
Nel 2017, i ricercatori di sicurezza hanno rilevato circa 23.000 campioni di malware ogni giorno, ovvero circa 795 malware prodotti ogni ora. Recentemente è emerso un nuovo malware molto sofisticato chiamato Mylobot.
NTFS, FAT32, exFAT sono file system su Windows, ma nello specifico cos'è NTFS, cos'è FAT32, cos'è exFAT, quali sono le loro somiglianze e differenze? Invitiamo i lettori a fare riferimento a questo articolo.
Se non usi una password, come proteggerai il tuo account? Cosa sono gli accessi senza password e sono sicuri? Scopriamolo con Quantrimang.com attraverso il seguente articolo!
