Windows Defender предотвратил массивную атаку майнингового вредоносного ПО

Защитник Windows смог предотвратить распространение варианта трояна Dofoil, который сопровождался кодом для удаленного майнинга криптовалют на компьютере жертвы. Об этом сообщается в официальном блоге Microsoft.

По словам специалистов компании, 73% обнаруженных троянов приходились на Россию, 18% на Турцию и 4% на Украину. 6 марта Microsoft заблокировала 80 тысяч попыток внедрения, а на протяжении следующих 12 часов обнаружила еще 400 тысяч попыток.

«Кампания по распространению этого ПО использовала схему внедрения вредоносного кода в стандартный системный процесс explorer.exe. Зараженный процесс запускает другой, который в свою очередь исполняет код для запуска процесса майнинга криптовалюты Electroneum. В обычных условиях пользователю весьма непросто обнаружить подделку, поскольку вирус работает внутри подлинного процесса, который исполняется с другого места. Это позволяет злоумышленникам эксплуатировать железо жертвы максимально долгое время», — говорится в отчете компании.

Чтобы оставаться незамеченным, Dofoil изменяет реестр системы. Зараженный процесс explorer.exe создает копию оригинального вредоносного ПО в папке Roaming AppData и затем переименовывает ее в ditereah.exe. Затем создается ключ в реестре или модифицируется существующий для направления созданной копии вируса.

Microsoft отметила, что пользователи на Windows 7, Windows 8.1 и Windows 10 с включенным Защитником Windows/Microsoft Security Essentials защищены от этой атаки.

Напомним, ранее в марте исследователи обнаружили первый майнер криптовалют с функцией «kill list», способной в попытке захватить все мощности компьютера «убивать» процессы других майнеров.

Подписывайтесь на канал ForkLog в YouTube!