Massive Attack Dofoil Microsoft trafienia

Computer Security News

Kilka dni temu, Windows Defender zablokowany ponad 80 000 wystąpień kilka nowych wariantów Dofoil Downloader (aka dym Loader). Po wykryciu zaburzenia zachowania, Microsoft Defender udało się chronić użytkowników systemu Windows 10, 8.1 i 7 minut spacerem.

Podczas następnych 12 godzin ekspertów zarejestrowanych ponad 400.000 wystąpień złośliwego oprogramowania Dofoil – 73% w Rosji, 18% w Turcji i 4% na Ukrainie.

Dofoil downloader wykonuje proces żłobienia, która polega na tarło nowe wystąpienie ślubny przebieg – w tym przypadku explorer.exe – i zastąpienie dobry kod złośliwego oprogramowania. Po tym, wydrążone explorer.exe spinów drugiej instancji, który spada i uruchamia monet wyszukiwania malware zatajania jako uzasadniony binarne, wuauclt.exe.

Zgodnie z Mikroskop Windows Defender wykryto problem od, , “Mimo że używa nazwy uzasadnionych Windows binarnym, działa z niewłaściwej lokalizacji. W wierszu polecenia jest nietypowe w porównaniu do uzasadnionych binarne. Ponadto ruch sieciowy od ten plik binarny jest podejrzane.”

Dofoil komunikuje się z C & C serwera, vinik.bit, w ramach rozproszonych Namecoin. Eksperci od bezpieczeństwa opisane Namecoin jako “system alternatywne główne serwery DNS oparte na technologii Bitcoin.”

Dofoil do pobrania cryptominer, który obsługuje NiceHash, pozwalając mu moje różne kryptowaluty.

“Próbek, przeanalizowaliśmy wydobywa się monety Electroneum” Microsoft mówi.

Według naukowców decyzję o zastosowaniu Dofoil za porzucenie Electroneum wyszukiwania złośliwego oprogramowania może być napędzana potencjalny wzrost w walucie nasilony ogromną kampanię próbuje zainfekować niemal pół miliona komputerów specjalnie do kierowania się wartość.

“Jak wykazały” Microsoft pisze, “Windows Defender Zaawansowana ochrona przed zagrożeniami (Windows Defender ATP) flagi złośliwego zachowania związane z instalacji, code injection, mechanizmy trwałość i działalności górniczej monet. Operacje zabezpieczeń można użyć wykrywania bogatej biblioteki w Windows Defender ATP do wykrywania i reagowania na nietypowe działania w sieci.”

Ogólnie rzecz biorąc, jest to prawda, jednak nie każdy uważa, że to idzie dostatecznie daleko, jako takie raporty są zasadniczo obrotu dokumentów opisujących przedsiębiorstwa objętego postępowaniem w najlepszym możliwym świetle.

Jedną z postaci w raporcie Microsoft przedstawia drzewie alert proces używany do określenia obecności złośliwego oprogramowania. Obejmuje to VirusTotal mieszania z komentarzem, “VirusTotal wykrywania stosunek 38/ 67.”

Biorąc pod uwagę fakt, że ponad połowa silników anty malware, obsługiwane przez VirusTotal klasyfikują go jako złośliwego oprogramowania to pewne, że jest to rzeczywiście malware.


Leave a Reply

Your email address will not be published. Required fields are marked *