Windows Defender допоміг запобігти масивній атаці майнінгового шкідливого ПЗ

На iOS виявили новий вірус

Днями Microsoft помітила стрімке поширення трояна Dofoil, який супроводжувався кодом для віддаленого майнінгу криптовалюти на комп’ютері жертви. Софтверний гігант стверджує, що 73% виявлених троянів припадали на Росію, 18% на Туреччину і 4% на Україну. 6 березня Microsoft заблокувала 80 000 спроб впровадження, а протягом наступних 12 годин виявили ще 400 000 спроб.

У сучасних реаліях вірус Dofoil особливо неприємний через загальне божевілля на видобуткові криптовалюти. Кампанія з розповсюдження цього ПЗ, виявленого Захисником Windows, використовувала схему впровадження шкідливого коду в стандартний системний процес explorer.exe. Заражений процес активує інший, який в свою чергу виконує код для запуску процесу майнінгу криптовалюти Electroneum. У звичайних умовах користувачеві досить непросто виявити підробку, оскільки вірус працює всередині справжнього процесу, який виконується з іншого місця. Це дозволяє зловмисникам експлуатувати залізо жертви максимально довгий час.

Щоб залишатися непоміченим, Dofoil змінює реєстр системи. Заражений процес explorer.exe створює копію оригінального шкідливого ПЗ в папці Roaming AppData і потім перейменовує її в ditereah.exe. Потім створюється ключ в реєстрі або модифікується існуючий для направлення створеної копії вірусу.

Microsoft відзначила, що користувачі на Windows 7, Windows 8.1 і Windows 10 з ввімкненим Захисником Windows/Microsoft Security Essentials захищені від цієї атаки. Все ж, компанія нагадала користувачам про необхідність використовувати Windows 10 для максимального захисту, а також підкреслила, що Windows 10S має додаткові механізми, що запобігають подібним атакам.

Джерело інформації: microsoft