На днях Microsoft заметила стремительное распространение трояна Dofoil, который сопровождался кодом для удаленного майнинга криптовалюти на компьютере жертвы. Софтверный гигант утверждает, что 73% выявленных троянов приходились на Россию, 18% на Турцию и 4% на Украину. 6 марта Microsoft заблокировала 80 000 попыток внедрения, а в течение следующих 12 часов обнаружили еще 400 000 попыток.
В современных реалиях вирус Dofoil особенно неприятный минуя всеобщее помешательство на добычные криптовалюти. Кампания по распространению данного ПО, обнаруженного Защитником Windows, использовала схему внедрения вредоносного кода в стандартный системный процесс explorer.exe. Зараженный процесс активирует иной, который в свою очередь выполняет код для запуска процесса майнинга криптовалюти Electroneum. В обычных условиях пользователю довольно непросто выявить подлог, поскольку вирус работает внутри настоящего процесса, который выполняется из другого места. Это позволяет злоумышленникам эксплуатировать железо жертвы максимально долгое время.
Чтобы оставаться незамеченным, Dofoil меняет реестр системы. Зараженный процесс explorer.exe создает копию оригинального вредоносного ПО в папке AppData Roaming и после переименовывает ее в ditereah.exe. Затем создается ключ в реестре или модифицируется существующий для направления созданной копии вируса.
Microsoft отметила, что пользователи Windows 7, Windows 8.1 и Windows 10 с включенным Защитником Windows/Microsoft Security Essentials защищены от этой атаки. Все же, компания напомнила пользователям о необходимости использовать Windows 10 для максимальной защиты, а также подчеркнула, что Windows 10S имеет дополнительные механизмы, предотвращающие подобным атакам.
Источник информации:
microsoft