Масивний Dofoil атака хітів Microsoft

Computer Security News

Пару днів тому, Windows Defender заблокований більш ніж 80000 екземпляри кілька нових варіантів Dofoil завантажувач (ака дим навантажувач). Після виявлення неправильною поведінкою, захисника від Microsoft вдалося захистити користувачів Windows, 7, 10 та 8.1 протягом декількох хвилин.

Протягом найближчих 12 годин експерти зареєстровано понад 400 000 екземплярів Dofoil Шкідливе – 73% в Росії, 18% в Туреччині і 4% в Україні.

Dofoil downloader виконує довбання процес, який включає в себе нересту новий екземпляр законних процес – в цьому випадку, explorer.exe – і замінити хороший код шкідливих програм. Після цього, видовбаних explorer.exe спинами другий екземпляр, який падає і запускає монета видобутку шкідливих програм замаскувати себе як відправника як законний двійковій, wuauclt.exe.

За даними Microsoft захисник Windows виявлено питання з “, хоча він використовує ім’я Законна Windows бінарні, вона працює з неправильне місцезнаходження. Командного рядка, Аномальні у порівнянні з законних двійковий файл. Крім того, мережевого трафіку від цього двійкові є підозрілою.”

Dofoil спілкується з C & C сервера, vinik.bit, всередині рамках розподілених Namecoin. Безпека експерти називають Namecoin, “система альтернативні кореневих DNS-серверів на базі технології Bitcoin.”

Dofoil завантажень на cryptominer, який підтримує NiceHash, даючи їй мої різних cryptocurrencies.

«Зразки, ми проаналізували добували Electroneum монети» Microsoft говорить.

На думку дослідників рішення про використання Dofoil за знижується Electroneum видобутку зловмисне програмне забезпечення може базуватися на потенціал зростання у валюті, підкріплена масову кампанію намагаються заразити близько половини мільйона комп’ютери спеціально для під’їхати значення.

“Як продемонстрували” Microsoft пише, “програма Windows Defender передові загроза захист (Windows Defender АТФ) прапорів шкідливого поведінки, пов’язані з установки, впровадження коду, наполегливість механізмів і монета гірських робіт. Безпеки операцій можна використовувати Windows Defender АТФ, бібліотек багаті виявлення виявляти і реагувати на аномальних діяльність в мережі.”

Загалом, це правда, однак, не всі вважають, що вона йде досить далеко як такі звіти принципово маркетингових документів, представлення компанії, зацікавлені в кращому світлі.

Одна з фігур у Microsoft звіт зображує ‘оповіщення процес дерево’ використовується для визначення присутності шкідливі програми. Це включає в себе VirusTotal хеш з зауваженням, “VirusTotal виявлення співвідношення 38/ 67.”

Зважаючи на те, що більше половини шкідливих двигунів підтримується VirusTotal класифікувати як шкідливі програми це впевнені, що це дійсно шкідливі програми.


Leave a Reply

Your email address will not be published. Required fields are marked *