两天前,微软遇到了一个迅速蔓延的加密货币挖掘恶意软件,它在短短12个小时内就感染了近500,000台电脑,并在很大程度上成功阻止了它。
被称为Smoke Loader的Dofoil称,该恶意软件被发现将一个加密货币矿工程序作为有效载荷放置在受感染的Windows计算机上,该计算机为使用受害者CPU的攻击者挖掘电子硬币,而这是另一种加密货币。 3月6日,Windows Defender突然检测到 Dofoil的几个变体的80,000多个实例,这引发了Microsoft Windows Defender研究部门的警报,并在接下来的12小时内记录了超过400,000个实例。
研究小组发现,所有这些在俄罗斯,土耳其和乌克兰迅速蔓延的实例都携带了数字硬币挖掘有效载荷,它伪装成合法的Windows二进制文件以逃避检测。
但是,微软并没有提到这些实例如何在短时间内首先被提供给如此庞大的用户。
Dofoil使用可以挖掘不同加密货币的自定义采矿应用程序,但在此活动中,恶意软件只能编程为挖掘Electroneum硬币。
据研究人员称,Dofoil特洛伊使用一种名为“进程空洞化”的旧代码注入技术,该技术涉及利用恶意代码生成合法进程的新实例,以便第二个代码运行而不是原始的欺骗进程监视工具和防病毒相信原始过程正在运行。
“掏空的explorer.exe进程再次加速了第二个恶意实例,该实例将丢弃并运行伪装成合法Windows二进制文件wuauclt.exe的硬币挖掘恶意软件。”
为了长期保持被感染系统的持久性,使用被盗的计算机资源挖掘Electroneum硬币,Dofoil特洛伊修改了Windows注册表。
研究人员说:“挖空的explorer.exe进程会在漫游AppData文件夹中创建一个原始恶意软件的副本,并将其重命名为ditereah.exe。” “然后,它会创建一个注册表项或修改现有的一个以指向新创建的恶意软件副本。在我们分析的示例中,恶意软件修改了OneDrive Run键。”
Dofoil还连接到托管在分散的Namecoin网络基础设施上的远程命令和控制(C&C)服务器,并侦听新命令,包括安装额外的恶意软件。
微软表示,Windows Defender Antivirus使用的行为监控和基于人工智能的机器学习技术对检测和阻止这一大规模恶意软件活动发挥了重要作用。
来源:币币发
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!