Quest-ce que Mylobot et comment fonctionne ce malware ?

Quest-ce que Mylobot et comment fonctionne ce malware ?

En 2017, les chercheurs en sécurité ont détecté environ 23 000 échantillons de logiciels malveillants chaque jour, soit environ 795 logiciels malveillants produits chaque heure. Cela semble terrible, mais en fait, la majorité de ces échantillons sont des variantes de logiciels malveillants existants, ils utilisent simplement un code différent pour créer une « nouvelle » signature. Cependant, récemment, un nouveau logiciel malveillant très sophistiqué est apparu, appelé Mylobot.

Qu’est-ce que Mylobot ?

Mylobot est un malware botnet qui contient un grand nombre d'intentions malveillantes. Tom Nipravsky, chercheur en sécurité chez Deep Instinct, a été le premier à découvrir ce malware.

Qu'est-ce que Mylobot et comment fonctionne ce malware ?

Ce malware combine une série de techniques complexes d’infection et d’obscurcissement dans un seul package puissant. Voici les techniques utilisées dans Mylobot :

  • Technique anti-machine virtuelle (VM) : ce malware examine l'environnement informatique à la recherche de signes d' utilisation de machine virtuelle . Si une indication indique que l'utilisateur utilise une machine virtuelle, celle-ci ne s'exécutera pas.
  • Techniques anti-sandbox : Très similaires aux techniques anti-machine virtuelle.

Voir plus : 7 meilleures applications Sandbox pour Windows 10

  • Techniques anti-débogage : empêchez les chercheurs en sécurité de travailler efficacement sur un échantillon de malware en modifiant le comportement d'un certain programme de débogage.
  • Enveloppez les composants internes avec un fichier de ressources crypté : protégez le code interne du malware avec le cryptage.
  • Technique d'attaque par injection de code : Mylobot exécute du code personnalisé pour attaquer le système, infectant les processus avec ce code pour accéder et perturber les opérations régulières.
  • Handle vide : l'attaquant crée un nouveau processus dans un état suspendu, puis le remplace par un processus caché.
  • Technique EXE réfléchissante : exécutez les fichiers EXE depuis la mémoire plutôt que sur le lecteur.
  • Mécanisme de délai : Le malware tarde 14 jours avant de se connecter au serveur de commande et de contrôle.

Mylobot exécute diverses techniques pour rester caché.

Les techniques anti-sandbox, anti-débogage et anti-machine virtuelle tentent d'empêcher la détection de logiciels malveillants lors de l'analyse avec un logiciel anti-malware , ainsi que d'empêcher les chercheurs en sécurité d'isoler les logiciels malveillants sur une machine. Environnement virtuel ou sandbox à des fins d'analyse et de recherche .

Mylobot utilise réfléchissant EXE pour le rendre encore plus difficile à détecter car il ne fonctionne pas directement sur le disque, il ne peut donc pas être analysé par un logiciel antivirus ou anti-malware.

"Sa structure de code est très complexe, il s'agit d'un malware multithread, chaque thread est responsable de la mise en œuvre des différentes capacités du malware", a écrit Nipravsky dans un article. Et a également mentionné : « Ce malware contient trois couches de fichiers, imbriquées les unes dans les autres, où chaque couche est responsable de l’exécution de la suivante. La couche finale utilise la technique réfléchissante EXE".

Outre les techniques d'anti-analyse et d'anti-détection, Mylobot peut attendre 14 jours avant de prendre contact avec son serveur de commande et de contrôle. Lorsque Mylobot établit une connexion, le botnet désactive Windows Defender et Windows Update et ferme certains ports du pare-feu Windows.

Mylobot recherche et tue d'autres types de logiciels malveillants

L’une des caractéristiques intéressantes et rares de ce malware Mylobot est qu’il a la capacité de rechercher et de détruire d’autres malwares. Contrairement à d'autres logiciels malveillants, Mylobot est prêt à détruire ces types de logiciels malveillants s'ils sont présents sur le système. Il analyse le dossier Application Data du système à la recherche de fichiers et de dossiers de logiciels malveillants courants. S'il trouve un fichier ou un processus spécifique, Mylobot le "tuera".

Alors, que fait exactement Mylobot ?

La fonction principale de Mylobot est de contrôler le système, à partir duquel l'attaquant a accès aux informations de connexion en ligne, aux fichiers système, etc. Le niveau de dommages dépend de l'attaquant du système. Cela peut causer de gros dégâts, notamment en pénétrant dans l’environnement de l’entreprise.

Mylobot est également lié à d'autres botnets tels que DorkBot, Ramdo et le tristement célèbre réseau Locky. Si Mylobot agit comme un « conduit » pour les botnets et autres types de logiciels malveillants, alors c'est un véritable désastre.

Comment contrer Mylobot

La mauvaise nouvelle est que Mylobot infecte les systèmes depuis plus de deux ans. Son serveur de commande et de contrôle a été découvert pour la première fois en novembre 2015. Mylobot a longtemps échappé à tous les autres chercheurs et sociétés de sécurité avant d'être découvert par l'outil de recherche réseau « deep learning » de Deep Instinct.

Les outils antivirus et anti-malware conventionnels ne peuvent pas protéger contre Mylobot, du moins pour le moment. Maintenant qu'un échantillon Mylobot est disponible, de nombreux chercheurs et sociétés de sécurité peuvent l'utiliser pour trouver des mesures contre ce malware.

En attendant, vous devriez consulter notre liste d' outils antivirus et de sécurité informatique . Bien que ces outils ne puissent pas détruire Mylobot, ils peuvent arrêter d'autres logiciels malveillants. De plus, vous pouvez vous référer à l'article Supprimer complètement les logiciels malveillants (malware) sur les ordinateurs Windows 10 .

En savoir plus :


Qu’est-ce que One UI pour Android ?

Qu’est-ce que One UI pour Android ?

One UI remplace Samsung Experience en tant qu'interface personnalisée de Samsung pour Android. Il est simplifié, épuré et conçu pour afficher uniquement les informations essentielles, réduisant ainsi les distractions.

En savoir plus sur les décibels (dB) dans les réseaux informatiques

En savoir plus sur les décibels (dB) dans les réseaux informatiques

Le décibel (dB) est une unité de mesure standard, utilisée pour mesurer la force des signaux des réseaux filaires et sans fil.

13 raisons pour lesquelles vous devriez utiliser un VPN

13 raisons pour lesquelles vous devriez utiliser un VPN

Les réseaux privés virtuels sont abordables, faciles à utiliser et constituent un élément important des configurations d’ordinateurs et de smartphones. En plus de votre pare-feu et de votre solution antivirus/anti-malware, vous devez installer un VPN afin que chaque moment que vous passez en ligne soit totalement privé.

En savoir plus sur le protocole Telnet

En savoir plus sur le protocole Telnet

Telnet est un protocole de ligne de commande utilisé pour gérer à distance divers appareils tels que des serveurs, des PC, des routeurs, des commutateurs, des caméras et des pare-feu.

Qu’est-ce que la corruption des données ?

Qu’est-ce que la corruption des données ?

Lorsque quelqu’un parle de préservation des données sensibles, vous entendrez probablement le terme « corruption des données ». Alors, qu’est-ce que la « corruption des données » et comment pouvez-vous réparer vos fichiers en cas de problème ?

Qu’est-ce que Catalyst Control Center (CCC.exe) ?

Qu’est-ce que Catalyst Control Center (CCC.exe) ?

Catalyst Control Center est un utilitaire fourni avec le pilote, aidant les cartes vidéo AMD à fonctionner. Il apparaît sous le nom de CCC.exe dans le Gestionnaire des tâches de l'utilisateur et dans la plupart des cas, vous n'aurez jamais à vous en soucier.

Qu’est-ce qu’un malware signé par code et comment l’éviter ?

Qu’est-ce qu’un malware signé par code et comment l’éviter ?

La signature de code est une méthode d'utilisation d'une signature numérique basée sur un certificat pour un logiciel afin que le système d'exploitation et les utilisateurs puissent déterminer sa sécurité. Qu’est-ce qu’un malware signé par code et comment fonctionne-t-il ?

En savoir plus sur le pare-feu cloud

En savoir plus sur le pare-feu cloud

À mesure que la technologie qui nous entoure évolue, les pare-feu doivent également être intégrés au cloud pour suivre la tendance. C'est pourquoi le terme pare-feu cloud est né.

Quest-ce que Mylobot et comment fonctionne ce malware ?

Quest-ce que Mylobot et comment fonctionne ce malware ?

En 2017, les chercheurs en sécurité ont détecté environ 23 000 échantillons de logiciels malveillants chaque jour, soit environ 795 logiciels malveillants produits chaque heure. Récemment, un nouveau logiciel malveillant très sophistiqué appelé Mylobot est apparu.

Que sont les formats FAT32, NTFS, exFAT ?

Que sont les formats FAT32, NTFS, exFAT ?

NTFS, FAT32, exFAT sont des systèmes de fichiers sous Windows, mais plus précisément, qu'est-ce que NTFS, qu'est-ce que FAT32, qu'est-ce que exFAT, quelles sont leurs similitudes et leurs différences ? Nous invitons les lecteurs à se référer à cet article.