Microsoft Windows Defender bekämpar massiva valutaminerareattacker

0 Shares

Skydd mot skadlig programvara

Microsoft har stoppat en storskalig distributionskampanj med skadlig programvara som försökte infektera nästan 500 000 Windows-datorer med en kryptovalutaminerare.

Windows Defender-antivirusprogram upptäckte 80 000 förekomster av flera trojaner med nyttolasten känd som Dofoil eller Smoke loader, kl 12.00 PST den 6 mars.

Under de närmaste 12 timmarna tog Defender över 400 000 fler möten med trojanen, främst i Ryssland, men också i Turkiet och Ukraina. Dofoil använder en teknik som kallas ‘process hollowing’ på den legitima explorer.exe-binären. Tekniken skapar en ny instans av det legitima prigramet men byter ut koden med skadlig kod.

“För att hålla sig dolda ändrar Dofoil registret”, säger Mark Simos, ledande cybersäkerhetsarkitekt på Microsofts Enterprise Cybersecurity Group, och skriver på företagets blogg. “Den ihåliga explorer.exe-processen skapar en kopia av den ursprungliga skadliga programvaran i Roaming AppData-mappen och byter namn på den till ditereah.exe. Den skapar sedan en registernyckel eller modifierar en befintlig för att peka på den nyligen skapade skadliga kopian. I exemplet vi analyserade, skadade skadlig programvara OneDrive Run-nyckeln. “

Andra säkerhetsexperter har påpekat att Dofoil-koden har många funktioner som syftar till saker utöver valutadrift. Andy Norton, chef för hotinformation från brottvisibilitetsspecialisten Lastline säger: “Att ha ett AV-verktyg som tar bort den skadliga koden eller att återbilda ett infekterat system verkar vara rätt sätt att åtgärda detta hot, men rökladdare är väldigt mycket mer än en enkel nedladdare, den har många datastöldfunktioner som riktar sig till referenser. Om bara 10 procent av de 400 000 enheterna (främst i Ryssland) blev smittade har vi nu 4000 enheter som nu är sårbara för ett mycket större hot än bara mynt brytning.”

Du kan ta reda på mer om attacken på Microsofts blogg.

Bildkredit: vectorfusionart / Shutterstock

0 Shares