网络安全是一个永恒的战场。2017年，安全研究人员每天发现约23000个新的恶意软件样本（即每小时795个）。

虽然这个标题令人震惊，但事实证明，这些样本中的大多数都是同一类型恶意软件的变种。它们只是有稍微不同的代码，每个代码创建一个“新”签名。

不过，时不时会有一种全新的恶意软件出现。Mylobot就是这样一个例子：它是新的、高度复杂的，而且势头强劲。

什么是微型机器人(mylobot)？

Mylobot是一个僵尸网络恶意软件，它包含大量的恶意意图。最早发现这种新恶意软件的是Tom Nipravsky，他是Deep Instinct的一名安全研究员，他说“这些技术的组合和复杂性以前从未在野外见过。”

这种恶意软件确实将各种复杂的感染和混淆技术结合到一个强大的软件包中。看一看：

• 反虚拟机（VM）技术：恶意软件检查其本地环境中是否存在虚拟机的迹象，如果发现则无法运行。
• 反沙盒技术：非常类似于反VM技术。
• 反调试技术：通过在某些调试程序中改变行为，有效地阻止安全研究人员处理恶意软件样本。
• 用加密的资源文件包装内部部件：本质上是用加密进一步保护恶意软件的内部代码。
• 代码注入技术：Mylobot运行自定义代码来攻击系统，将其自定义代码注入系统进程以获取访问权限并中断常规操作。
• 进程空洞化：攻击者在挂起状态下创建一个新进程，然后替换原本要隐藏的进程。
• 反射EXE：EXE文件从内存而不是磁盘执行。
• 延迟机制：恶意软件在连接到命令和控制服务器之前休眠14天。

Mylobot花了很多精力来隐藏自己。

反沙盒、反调试和反虚拟机技术试图阻止恶意软件出现在反恶意软件扫描中，并防止研究人员在虚拟机或沙盒环境中隔离恶意软件进行分析。

反射的可执行文件使Mylobot更不可检测，因为您的防病毒或反恶意软件套件没有直接的磁盘活动可供分析。

mylobot的躲避动作

根据尼普拉夫斯基告诉《威胁邮报》的话：

"The structure of the code itself is very complex---it's a multi-threaded malware where each thread is in charge on implementing different capability of the malware."

以及：

"The malware contains three layers of files, nested on each other, where each layer is in charge of executing the next one. The last layer is using [the Reflective EXE] technique."

随着反分析和反检测技术，Mylobot可以等待长达14天，然后试图建立与它的指挥和控制服务器的通信。

当Mylobot建立连接时，僵尸网络会关闭Windows Defender和Windows Update，并关闭许多Windows防火墙端口。

mylobot寻找并杀死其他类型的恶意软件

Mylobot恶意软件最有趣也是最罕见的功能之一是它的搜索和销毁功能。

与其他恶意软件不同，Mylobot可以随时清除目标系统中已有的其他类型的恶意软件。Mylobot会扫描系统应用程序数据文件夹中的常见恶意软件文件和文件夹，如果发现某个文件或进程，Mylobot会将其终止。

尼普拉夫斯基认为，这种罕见且极具攻击性的恶意软件活动有几个原因。勒索软件即服务（ransomware-as-a-service）和其他付费游戏（pay-to-play）恶意软件变种的兴起，大大降低了成为网络罪犯的门槛。一些全功能的勒索软件和利用工具包是免费提供的一部分，联属计划（特别是土星勒索软件）。

此外，雇用一个强大的僵尸网络的价格可以下降到极低的一个足够大的订单，而其他广告日费率只有几十美元。

接入的便捷性正在侵蚀已确立的网络犯罪活动。

"Attackers compete against each other to have as many 'zombie computers' as possible in order to increase their value when proposing services to other attackers, especially when it comes to spreading infrastructures."

因此，恶意软件的功能会急剧升级，以进一步传播，持续时间更长，并获得更有利可图的回报。

mylobot到底是做什么的？

Mylobot的主要功能是向攻击者公开对系统的控制。从那里，攻击者可以访问联机凭据、系统文件等。

真正的损害最终取决于攻击系统的人的决定。具有Mylobot功能的恶意软件很容易导致大规模破坏，尤其是在企业环境中发现时。

Mylobot还与其他僵尸网络有链接，包括DorkBot、Ramdo和臭名昭著的Locky网络。如果Mylobot是其他僵尸网络和恶意软件类型的管道，任何人如果犯规，都会有一个非常糟糕的时间：

"The fact that the botnet behaves as a gate for additional payloads, puts the enterprise in risk for leak of sensitive data as well, following the risk of keyloggers / banking trojans installati***."

你怎么能安全地对付mylobot？

好吧，坏消息是：在这个时候，Mylobot已经积极感染系统两年多了。其命令和控制服务器在2015年11月首次使用。

因此，Mylobot似乎在进入Deep Instinct的深度学习网络研究工具之前，已经躲过了所有其他安全研究人员和公司一段时间。

不幸的是，你的常规防病毒和反恶意软件工具不会像Mylobot那样——至少暂时不会。

现在有了Mylobot样本，更多的安全公司和研究人员可以使用这个签名。反过来，他们会密切关注Mylobot。

同时，您需要查看我们的最佳计算机和安全防病毒工具列表！虽然你的常规防病毒或反恶意软件可能不会在Mylobot上发现，但有很多其他恶意软件，它肯定会停止。

但是，如果对你来说太晚了，而且你已经担心感染，请查看我们的完整的恶意软件删除指南。它将帮助您和您的系统克服绝大多数恶意软件，以及开始采取措施，以防止它再次发生。