Windows Defender помог предотвратить массивную атаку майнингового вредоносного ПО

После атак WannaCry и Petya в прошлом году Microsoft при каждой удобной возможности напоминает пользователям о необходимости обновиться до последней версии Windows 10 и использовать новейшие разработки антивирусного ПО Microsoft. Все это не просто так - новые версии Windows действительно самые защищенные, а стандартный антивирус обеспечивает хороший уровень защиты. В своем официальном блоге компания рассказала о том, как Защитник Windows смог предотвратить распространение майнингового вредоносного ПО несколько дней назад.

На днях Microsoft заметила стремительное распространения варианта трояна Dofoil, который сопровождался кодом для удаленного майнинга криптовалют на компьютере жертвы. Софтверный гигант утверждает, что 73% обнаруженных троянов приходились на Россию, 18% на Турцию и 4% на Украину. 6 марта Microsoft заблокировала 80 000 попыток внедрения, а на протяжении следующих 12 часов обнаружили еще 400 000 попыток.

В современных реалиях вирус Dofoil особенно неприятный из-за всеобщего помешательства на добычи криптовалюты. Кампания по распространению этого ПО, обнаруженного Защитником Windows, использовала схему внедрения вредоносного кода в стандартный системный процесс explorer.exe. Зараженный процесс запускает другой, который в свою очередь исполняет код для запуска процесса майнинга криптовалюты Electroneum. В обычных условиях пользователю весьма непросто обнаружить подделку, поскольку вирус работает внутри подлинного процесса, который исполняется с другого места. Это позволяет злоумышленникам эксплуатировать железо жертвы максимально долгое время.

Чтобы оставаться незамеченным, Dofoil изменяет реестр системы. Зараженный процесс explorer.exe создает копию оригинального вредоносного ПО в папке Roaming AppData и затем переименовывает ее в ditereah.exe. Затем создается ключ в реестре или модифицируется существующий для направления созданной копии вируса. В примере, который мы проанализировали, вирус модифицировал ключ OneDrive Run.

Зараженный explorer.exe создает и запускает файл D1C6.tmp.exe (SHA256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c) в папке Temp. D1C6.tmp.exe в свою очередь создает и запускает копию самого себя под названием lyk.exe. После запуска lyk.exe подключается к IP-адресам, которые работают как DNS прокси-сервера для сети Namecoin. Он затем пытается подключиться к C&C серверу vinik.bit внутри инфраструктуры NameCoin. Сервер C&C указывает вирусу подключиться или отключиться к IP-адресу, скачать, исполнить или удалить определенный файл или же оставаться пассивным на протяжении определенного периода времени.

Microsoft отметила, что пользователи на Windows 7, Windows 8.1 и Windows 10 с включенным Защитником Windows / Microsoft Security Essentials защищены от этой атаки. Все же компания напомнила пользователям о необходимости использовать Windows 10 для максимальной защиты, а также подчеркнула, что Windows 10 S обладает дополнительными механизмами, предотвращающими подобные атаки.

Источник internetua.com