Исследователи из ИБ-компании Deep Instinct обнаружили в сетях своего клиента новый, очень продвинутый Windows-зловред, основным назначением которого является загрузка других вредоносных программ.

По свидетельству экспертов, новобранец, нареченный ими Mylobot, вооружен разнообразными средствами предотвращения анализа и обнаружения. Так, он умеет определять свой запуск в песочнице, виртуальной машине и под отладчиком; принудительно завершать процессы Windows Defender и Windows Update; блокировать дополнительные порты в брандмауэре Windows.

Файл ресурсов Mylobot зашифрован, выполнение вредоносного кода происходит бесфайловым методом. Данный зловред также владеет нестандартной техникой внедрения кода — process hollowing. Чтобы не выдать свое присутствие интернет-связью, обосновавшийся на компьютере бот выжидает две недели, прежде чем доложить об успешном заражении на C&C-сервер.

«Это уникальный набор самых современных техник, — заявил в комментарии для Dark Reading Арик Соломон (Arik Solomon), вице-президент Deep Instinct по исследованиям и разработкам. — Все они известны и по отдельности используются некоторыми зловредами, но подобная комбинация не имеет себе равных».

Выполняя функции даунлоудера, Mylobot может закачать на машину жертвы любую полезную нагрузку — спамбот, DDoS-зловред, кейлоггер, банковский троян. Конкурентов этот загрузчик не терпит и беспощадно от них избавляется, сверяя список запущенных процессов с содержимым папки %APPDATA%, куда обычно сохраняются вредоносные файлы. Обнаружив совпадение, Mylobot прибивает процесс и удаляет соответствующий exe-файл.

Судя по всему, авторы этого зловреда надумали создать ботнет, который можно будет сдавать в аренду распространителям другого вредоносного ПО. Кем написан новый бот, пока непонятно; известно лишь, что Mylobot фиксирует раскладку клавиатуры и, обнаружив азиатские кодировки, отменяет исполнение.

Категории: Аналитика, Вредоносные программы