Mylobot строит собственный ботнет — с пока неизвестными целями

Новая разновидность вредоносного ПО объединяет инфицированные Windows-системы в ботнет, обеспечивая хакерам полный контроль над захваченным компьютером. Характерная его особенность — несколько уровней противодействия обнаружению: анти-отладка, анти-песочница, шифрование файлов и возможность выполнения файлов EXE прямо из памяти без загрузки на диск. В дополнение к этому контакт с центром управления программа налаживает спустя две недели после попадания на компьютер, что также затрудняет её детектирование. Эксперты из Deep Instinct, первыми описавшие новую программу, характеризуют эти её свойства, как сложные, неординарные и никогда не встречавшиеся в вирусных программах прежде в таком сочетании.

Происхождение программы, названной Mylobot по кличке собаки обнаружившего её исследователя, а также метод доставки пока остаются неизвестны, однако прослеживается некоторая связь (общий IP-адрес центра управления) с Locky — наиболее известным прошлогодним ransomware.

Mylobot отключает Windows Defender и Windows Update, а также блокирует дополнительные порты межсетевого экрана. Стремясь устранить всё возможные помехи для своей работы, Mylobot также активно ищет и подавляет любое другое вредоносное ПО, уже установленное на компьютере, в том числе работающее на другие ботнеты.

Потенциальный ущерб будет зависеть от рабочей нагрузки, которую будет распространять центральный сервер ботнета. Это может быть ransomware, банковские троянцы, сканеры клавиатуры и пр.

По информации исследователей, новый ботнет пытается подключаться к 1404 доменам (на время написания статьи активен был только один из них). Это указывает на масштабность вовлечённых в проект ресурсов: ведь кому-то пришлось зарегистрировать все эти домены.

«Мы не нашли указаний на то, кто может быть автором, но судя по коду, он знает, что делает», — заявил Том Ниправски (Tom Nipravsky) из Deep Instinct.