By | March 9, 2018

כמה ימים לפני, Windows Defender חסם יותר מ- 80,000 מקרים של כמה גרסאות חדשות של מוריד סוסים (aka עשן מטעין) Dofoil. לאחר זיהוי התנהגות חריגה, המגן של מיקרוסופט הצליחו להגן על משתמשי Windows 10, 8.1 ו- 7 דקות.

במהלך 12 השעות הבאות, המומחים רשומים יותר מ 400,000 מקרים של תוכנות זדוניות Dofoil – 73% ברוסיה, 18% בטורקיה ו- 4% באוקראינה.

ההורדה Dofoil מבצעת תהליך הולו, אשר כרוך ההשרצה מופע חדש של תהליך לגיטימי – במקרה זה, explorer.exe – והחלפה הקוד טובה עם תוכנות זדוניות. לאחר מכן, explorer.exe חלולה ספינים המופע השני אשר טיפות פועל מטבע הכרייה תוכנות זדוניות הסוואת קבצים בינאריים לגיטימי wuauclt.exe.

על פי מיקרוסופט, Windows Defender זיהה את הבעיה מאז, “. למרות זה משתמש בשם של חלונות לגיטימיים בינארי, הוא פועל מן המיקום הלא נכון. שורת הפקודה הוא חריג בהשוואה ל הקובץ הבינארי לגיטימית. בנוסף, תעבורת הרשת זה בינארי הוא חשוד.”

Dofoil מקיים תקשורת עם C & C שרת, vinik.bit, בתוך המסגרת Namecoin מבוזרת. מומחי אבטחה מתואר Namecoin, “מערכת של שרתי DNS חלופי שורש מבוסס על טכנולוגיית ביטקוין.”

הורדות Dofoil cryptominer אשר תומך NiceHash, נותנים לזה שלי cryptocurrencies שונים.

“הדגימות ניתחנו ממוקש Electroneum מטבעות” Microsoft אומר.

לדברי החוקרים, ההחלטה להשתמש Dofoil עבור הורדת תוכנות זדוניות הכרייה Electroneum עשוי להיות מונע על ידי הגידול הפוטנציאלי במטבע מחוזקת על ידי קמפיין מסיבי מנסה להדביק כמעט חצי מחשבים מיליון במיוחד כדי להסיע את הערך.

“כפי שמתואר” מיקרוסופט כותב, “ב- Windows Defender ההגנה המתקדמת איום (Windows Defender ATP) מסמן זדוני התנהגויות הקשורות התקנה, הזרקת קוד, התמדה מנגנונים של מטבע פעילות הכרייה. פעולות אבטחה באפשרותך להשתמש את ספריות זיהוי עשיר ב- Windows Defender ATP כדי לזהות ולהגיב פעילות חריגה ברשת.”

באופן כללי, זה נכון, עם זאת, לא כולם מאמינים שזה הולך רחוק מספיק ככזה דוחות באופן מהותי השיווק מסמכים הצגת החברה מתעניין האור הטוב ביותר האפשרי.

אחת הדמויות בדו ח Microsoft מתארת את תהליך התראה ‘עץ’ לקביעת הנוכחות של התוכנה הזדונית. זה כולל hash VirusTotal עם ההערה, “VirusTotal גילוי יחס 38/ 67.”

בהתחשב בעובדה כי יותר ממחצית המנועים נגד תוכנות זדוניות נתמך על ידי VirusTotal לסווג את הקובץ כמו תוכנות זדוניות, אין ספק כי מדובר זדוניות אכן.

Leave a Reply

Your email address will not be published. Required fields are marked *