網絡安全是一個永恆的戰場。2017年，安全研究人員每天發現約23000個新的惡意軟件樣本（即每小時795個）。

雖然這個標題令人震驚，但事實證明，這些樣本中的大多數都是同一類型惡意軟件的變種。它們只是有稍微不同的代碼，每個代碼創建一個“新”簽名。

不過，時不時會有一種全新的惡意軟件出現。Mylobot就是這樣一個例子：它是新的、高度複雜的，而且勢頭強勁。

什麼是微型機器人(mylobot)？

Mylobot是一個殭屍網絡惡意軟件，它包含大量的惡意意圖。最早發現這種新惡意軟件的是Tom Nipravsky，他是Deep Instinct的一名安全研究員，他說“這些技術的組合和複雜性以前從未在野外見過。”

這種惡意軟件確實將各種複雜的感染和混淆技術結合到一個強大的軟件包中。看一看：

• 反虛擬機（VM）技術：惡意軟件檢查其本地環境中是否存在虛擬機的跡象，如果發現則無法運行。
• 反沙盒技術：非常類似於反VM技術。
• 反調試技術：通過在某些調試程序中改變行為，有效地阻止安全研究人員處理惡意軟件樣本。
• 用加密的資源文件包裝內部部件：本質上是用加密進一步保護惡意軟件的內部代碼。
• 代碼注入技術：Mylobot運行自定義代碼來攻擊系統，將其自定義代碼注入系統進程以獲取訪問權限並中斷常規操作。
• 進程空洞化：攻擊者在掛起狀態下創建一個新進程，然後替換原本要隱藏的進程。
• 反射EXE：EXE文件從內存而不是磁盤執行。
• 延遲機制：惡意軟件在連接到命令和控制服務器之前休眠14天。

Mylobot花了很多精力來隱藏自己。

反沙盒、反調試和反虛擬機技術試圖阻止惡意軟件出現在反惡意軟件掃描中，並防止研究人員在虛擬機或沙盒環境中隔離惡意軟件進行分析。

反射的可執行文件使Mylobot更不可檢測，因為您的防病毒或反惡意軟件套件沒有直接的磁盤活動可供分析。

mylobot的躲避動作

根據尼普拉夫斯基告訴《威脅郵報》的話：

"The structure of the code itself is very complex---it's a multi-threaded malware where each thread is in charge on implementing different capability of the malware."

以及：

"The malware contains three layers of files, nested on each other, where each layer is in charge of executing the next one. The last layer is using [the Reflective EXE] technique."

隨著反分析和反檢測技術，Mylobot可以等待長達14天，然後試圖建立與它的指揮和控制服務器的通信。

當Mylobot建立連接時，殭屍網絡會關閉Windows Defender和Windows Update，並關閉許多Windows防火牆端口。

mylobot尋找並殺死其他類型的惡意軟件

Mylobot惡意軟件最有趣也是最罕見的功能之一是它的搜索和銷燬功能。

與其他惡意軟件不同，Mylobot可以隨時清除目標系統中已有的其他類型的惡意軟件。Mylobot會掃描系統應用程序數據文件夾中的常見惡意軟件文件和文件夾，如果發現某個文件或進程，Mylobot會將其終止。

尼普拉夫斯基認為，這種罕見且極具攻擊性的惡意軟件活動有幾個原因。勒索軟件即服務（ransomware-as-a-service）和其他付費遊戲（pay-to-play）惡意軟件變種的興起，大大降低了成為網絡罪犯的門檻。一些全功能的勒索軟件和利用工具包是免費提供的一部分，聯屬計劃（特別是土星勒索軟件）。

此外，僱用一個強大的殭屍網絡的價格可以下降到極低的一個足夠大的訂單，而其他廣告日費率只有幾十美元。

接入的便捷性正在侵蝕已確立的網絡犯罪活動。

"Attackers compete against each other to have as many 'zombie computers' as possible in order to increase their value when proposing services to other attackers, especially when it comes to spreading infrastructures."

因此，惡意軟件的功能會急劇升級，以進一步傳播，持續時間更長，並獲得更有利可圖的回報。

mylobot到底是做什麼的？

Mylobot的主要功能是向攻擊者公開對系統的控制。從那裡，攻擊者可以訪問聯機憑據、系統文件等。

真正的損害最終取決於攻擊系統的人的決定。具有Mylobot功能的惡意軟件很容易導致大規模破壞，尤其是在企業環境中發現時。

Mylobot還與其他殭屍網絡有鏈接，包括DorkBot、Ramdo和臭名昭著的Locky網絡。如果Mylobot是其他殭屍網絡和惡意軟件類型的管道，任何人如果犯規，都會有一個非常糟糕的時間：

"The fact that the botnet behaves as a gate for additional payloads, puts the enterprise in risk for leak of sensitive data as well, following the risk of keyloggers / banking trojans installati***."

你怎麼能安全地對付mylobot？

好吧，壞消息是：在這個時候，Mylobot已經積極感染系統兩年多了。其命令和控制服務器在2015年11月首次使用。

因此，Mylobot似乎在進入Deep Instinct的深度學習網絡研究工具之前，已經躲過了所有其他安全研究人員和公司一段時間。

不幸的是，你的常規防病毒和反惡意軟件工具不會像Mylobot那樣——至少暫時不會。

現在有了Mylobot樣本，更多的安全公司和研究人員可以使用這個簽名。反過來，他們會密切關注Mylobot。

同時，您需要查看我們的最佳計算機和安全防病毒工具列表！雖然你的常規防病毒或反惡意軟件可能不會在Mylobot上發現，但有很多其他惡意軟件，它肯定會停止。

但是，如果對你來說太晚了，而且你已經擔心感染，請查看我們的完整的惡意軟件刪除指南。它將幫助您和您的系統克服絕大多數惡意軟件，以及開始採取措施，以防止它再次發生。