2017 年，安全研究人员每天发现约 23,000 个恶意软件样本，即每小时产生约 795 个恶意软件。这听起来可能很可怕，但实际上这些模板中的大多数都是现有恶意软件的变体，它只使用不同的代码来创建“新”签名。然而，最近一种新的、非常复杂的恶意软件被称为 Mylobot。

什么是 Mylobot？

Mylobot 是一种包含大量恶意意图的僵尸网络恶意软件。 Deep Instinct 的安全研究员 Tom Nipravsky 是第一个发现这种恶意软件的人。

这个恶意软件将一系列复杂的感染技术和混淆技术整合在一个强大的包中。以下是 Mylobot 中使用的技术：

1. 反虚拟机 (VM) 技术：此恶意软件会检查计算机环境以寻找使用虚拟机的迹象。如果您发现任何迹象表明用户正在使用虚拟机，则它不会运行。
2. 反沙盒技术：与反虚拟机技术非常相似。

另请参阅：适用于 Windows 10 的 7 个最佳沙盒应用程序

1. 反调试技术：通过改变某个调试程序的行为，阻止安全研究人员有效地处理恶意软件样本。
2. 用加密的资源文件打包内部部件：通过加密保护恶意软件的内部代码。
3. 代码注入：Mylobot 运行自定义代码来攻击系统，将此代码感染到进程中以访问和中断例行操作。
4. 空处理：攻击者创建一个处于挂起状态的新进程，然后将其替换为隐藏进程。
5. 反射 EXE 技术：从内存而不是磁盘上运行 EXE 文件。
6. 延迟机制：恶意软件延迟 14 天后才连接到控制服务器和命令。

Mylobot 做了很多技术来隐藏自己。

反沙盒技术、反阻塞和反虚拟机试图防止在使用反恶意软件扫描时检测到恶意软件，并阻止研究人员保护恶意软件分离在电脑上面。用于分析和研究的虚拟或沙盒环境。

Mylobot 使用反射 EXE 使其更加难以检测，因为它不能直接在驱动器上运行，因此无法分析防病毒或反恶意软件。

Nipravsky 在帖子中写道：“它的代码结构非常复杂，这是一个多线程恶意软件，每个线程负责实现不同的恶意软件功能”。并且还提到：“这个恶意软件包含三个嵌套的文件层，其中每个类负责执行下一部分。最后一个类使用反射 EXE 技术“。

加上反分析和反检测技术，Mylobot可以延迟14天，然后联系控制服务器及其命令。当 Mylobot 建立连接时，僵尸网络会关闭 Windows Defender 和 Windows Update，并关闭一些 Windows 防火墙端口。

Mylobot 搜索并杀死其他类型的恶意软件

这款 Mylobot 恶意软件的一个有趣且罕见的功能是它具有搜索和破坏其他恶意软件的能力。与其他恶意软件不同，Mylobot 愿意销毁系统中存在的这些类型的恶意软件。它扫描系统的应用程序数据文件夹以查找常见的恶意软件文件和文件夹。如果您发现任何文件或进程特别是 Mylobot 将“杀死”它。

那么 Mylobot 到底是做什么的呢？

Mylobot的主要功能是控制系统，攻击者可以从中获取在线登录信息、文件系统等，破坏程度取决于攻击者的攻击者。系统。它可能会造成巨大的破坏，尤其是在渗透到企业环境中时。

Mylobot 还链接到其他僵尸网络，如 DorkBot、Ramdo 和 Locky 的“臭名昭著”网络。如果 Mylobot 充当僵尸网络和其他类型恶意软件的“管道”，那真是一场灾难。

如何对抗 Mylobot

坏消息是 Mylobot 一直在为 m 感染系统两年以上。控制服务器及其命令于 2015 年 11 月首次被发现。Mylobot 在被 Deep Instinct 的深度学习工具 deep learning 发现之前，已经躲避了所有其他研究人员和安全公司很长时间。

普通反病毒和反恶意软件工具至少在这段时间内无法抵抗Mylobot。现在有一个 Mylobot 模型，因此许多研究人员和安全公司可以使用它来寻找对抗这种恶意软件的方法。

同时，您应该查看计算机防病毒和安全工具列表。虽然这些工具无法破坏 Mylobot，但它们可以阻止其他恶意软件。您也可以参考文章删除 Windows 10 计算机上的原始恶意软件（malware）。

查看更多：

1. 检测感染恶意软件的计算机时要做的 9 件事
2. 您知道多少种恶意软件以及如何预防它们？
3. 10 种典型的恶意软件类型