微軟稱Windows Defender可以防止大規模加密貨幣挖掘攻擊

微軟已經發布了一篇博客文章，詳細介紹了它的Windows Defender（Windows 7,8.1和10）在幾天前阻止了「大規模」Dofoil加密貨幣挖掘活動。Windows Defender利用基於行為的信號和機器學習模型來檢測和攔截近80,000個高級木馬實例。該公司聲稱這些木馬是Dofoil的一個變體，並伴隨著一個礦機的有效載荷。

第一次偵測之後，在接下來的12小時內，又有40萬次襲擊事件發生，其中73%位於俄羅斯，18%位於土耳其，烏克蘭4%。由於目前對加密貨幣的需求，Dofoil惡意軟體家族被認為是特別危險的，因為攻擊者有機會在其代碼中包含加密貨幣挖掘組件。 Windows Defender檢測到的加密貨幣挖掘活動在explorer.exe上使用了代碼注入技術，通過分發合法進程的新實例並用惡意軟體替換其代碼。

這個受感染的進程會產生另一個執行硬幣挖掘有效載荷的實例。在通常情況下，用戶可能很難檢測到這種情況，因為惡意進程是一個合法的Windows二進位文件，但是運行的位置不正確。

為了保持隱藏，Dofoil會修改註冊表。挖空的explorer.exe進程在漫遊AppData文件夾中創建原始惡意軟體的副本，並將其重命名為ditereah.exe。然後，它會創建一個註冊表項或修改現有註冊表項以指向新創建的惡意軟體副本。

儘管微軟聲稱，運行Windows 7,8.1和10的客戶受到Windows Defender AV或Microsoft Security Essentials的保護，但它建議用戶升級到最新的操作系統，即Windows 10。實際上，該公司也鼓勵客戶利用Windows 10 S來保護自己免受這些威脅。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！