Năm 2017, các nhà nghiên cứu bảo mật đã phát hiện khoảng 23.000 mẫu phần mềm độc hại mỗi ngày, tức là khoảng 795 phần mềm độc hại được sinh ra mỗi giờ. Nghe có vẻ kinh khủng nhưng thực tế phần lớn các mẫu này là biến thể của các phần mềm độc hại đã có, nó chỉ sử dụng code khác nhau để tạo một chữ ký “mới”. Tuy nhiên, gần đây đã xuất hiện một phần mềm độc hại mới, rất tinh vi được gọi là Mylobot.
Mylobot là một phần mềm độc hại botnet có chứa một lượng lớn intent độc hại. Tom Nipravsky, một nhà nghiên cứu bảo mật cho Deep Instinct là người đầu tiên phát hiện ra phần mềm độc hại này.
Phần mềm độc hại này kết hợp một loạt các kỹ thuật lây nhiễm và kỹ thuật rắc rối hóa (obfuscation technique) phức tạp trong một package mạnh mẽ. Dưới đây là các kỹ thuật được sử dụng trong Mylobot:
Xem thêm: 7 ứng dụng Sandbox tốt nhất cho Windows 10
Mylobot thực hiện rất nhiều kỹ thuật nhằm mục đích ẩn mình.
Các kỹ thuật chống sandbox, chống gỡ lối và chống máy ảo cố gắn ngăn phần mềm độc hại bị phát hiện trong khi quét bằng phần mềm anti-malware, cũng như ngăn các nhà nghiên cứu bảo mật tách riêng phần mềm độc hại trên máy ảo hoặc môi trường sandbox để phân tích, nghiên cứu.
Mylobot sử dụng Reflective EXE để khiến nó thậm chí còn khó bị phát hiện hơn vì nó không hoạt động trực tiếp trên ổ đĩa, do đó, phần mềm diệt virus hoặc anti-malware không thể phân tích được.
Nipravsky đã viết trên một bài đăng: “Cấu trúc code của nó rất phức tạp, đây là một phần mềm độc hại đa luồng, mỗi luồng chịu trách nhiệm thực hiện các khả năng khác nhau của phần mềm độc hại”. Và cũng đề cập thêm: “Phần mềm độc hại này chứa ba lớp file, được lồng vào nhau, trong đó mỗi lớp chịu trách nhiệm thực thi phần tiếp theo. Lớp cuối cùng sử dụng kỹ thuật Reflective EXE.
Cùng với các kỹ thuật chống phân tích và chống phát hiện, Mylobot có thể trì hoãn 14 ngày sau đó thực hiện liên lạc với server điều khiển và lệnh của nó. Khi Mylobot thực hiện kết nối, botnet sẽ tắt Windows Defender và Windows Update, cũng như đóng một số cổng Windows Firewall.
Một trong những tính năng thú vị và hiếm gặp của phần mềm độc hại Mylobot này là nó có khả năng tìm kiếm và tiêu diệt phần mềm độc hại khác. Không giống như các phần mềm độc hại khác, Mylobot sẵn sàng tiêu diệt các loại phần mềm độc hại này nếu có mặt trên hệ thống. Nó quét thư mục Application Data của hệ thống để tìm các file và thư mục phần mềm độc hại phổ biến. Nếu tìm thấy bất cứ file hoặc tiến trình nào cụ thể Mylobot sẽ “giết” nó.
Chức năng chính của Mylobot là kiểm soát hệ thống, từ đó kẻ tấn công có quyền truy cập vào thông tin đăng nhập trực tuyến, file hệ thống, v.v… Mức độ thiệt hại tùy thuộc vào kẻ tấn công hệ thống. Nó có thể gây thiệt hại lớn đặc biệt khi thâm nhập vào môi trường doanh nghiệp.
Mylobot còn liên kết với các botnet khác như DorkBot, Ramdo và mạng Locky “khét tiếng”. Nếu Mylobot hoạt động như một “ống dẫn” cho các botnet và các loại phần mềm độc hại khác, thì đây đúng là thảm họa thật sự.
Tin xấu là Mylobot đã và đang lây nhiễm vào các hệ thống trong hơn hai năm qua. Server điều khiển và lệnh của nó lần đầu được tìm thấy vào tháng 11/2015. Mylobot đã tránh né được tất cả các nhà nghiên cứu và công ty bảo mật khác trong một thời gian dài trước khi bị công cụ nghiên cứu mạng “học sâu” (deep learning) của Deep Instinct phát hiện ra.
Các công cụ diệt virus và anti-malware thông thường không thể chống lại được Mylobot ít nhất trong thời gian này. Hiện giờ đã có một mẫu Mylobot, nên nhiều nhà nghiên cứu và công ty bảo mật có thể sử dụng nó để tìm các biện pháp chống lại phần mềm độc hại này.
Trong thời gian chờ đợi, bạn nên kiểm tra danh sách các công cụ diệt virus và bảo mật máy tính. Mặc dù các công cụ này không thể tiêu diệt Mylobot những có thể ngăn chặn những phần mềm độc hại khác. Ngoài ra bạn có thể tham khảo bài viết Gỡ bỏ tận gốc phần mềm độc hại (malware) trên máy tính Windows 10.
Xem thêm:
Nguồn tin: quantrimang.com
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn