Windows Defender成功攔截挖礦病毒大規模傳播

據火幣區塊鏈應用研究院(www.huobi.cn)編譯，微軟周四公布，其Windows Defender有效阻止了一個惡意軟體的攻擊行為，該軟體3月6日曾試圖在半天之內感染超過40萬用戶，強制安裝加密貨幣挖礦軟體。

（圖片來源於網路）

微軟周四公布，其Windows Defender有效阻止了一個惡意軟體的攻擊行為，該軟體3月6日曾試圖在半天之內感染超過40萬用戶，強制安裝加密貨幣挖礦軟體。

該公司稱，在那些感染了Dofoil惡意軟體（又名Smoke Loader）的計算機上檢測到了攻擊，這是一個著名的惡意軟體下載器。

微軟首席網路安全架構師Mark Simos說，就在3月6日中午（太平洋標準時間）之前，Windows Defender AV有效攔截了多種高級木馬的超過8萬次攻擊。

他補充道，第一次偵測之後，在接下來的12個小時內，又記錄到了超過40萬次攻擊，其中73%發生在俄羅斯，土耳其18%，烏克蘭4%。

微軟稱，第一時間發現木馬要歸功於Windows Defender內置的基於行為、雲驅動型機器學習模式。

Simos稱，機器學習模式成功在毫秒內發現了新惡意軟體，在數秒內識別出惡意威脅，並在幾分鐘之內有效攔截。

Simos說，若被這些惡意軟體攻擊，用戶就會看到名為Fuery、Fuerboos、Cloxer、Azden等名字的模塊，之後這些模塊的名字就變成了Dofoil、Coinminer等等。

微軟說，這種Dofoil變種試圖挖空正常的操作進程explorer.exe，注入惡意代碼。這種惡意代碼的作用是拆出另一個explorer.exe進程，會自動下載、運行加密貨幣挖礦軟體coinminer，偽裝成Windows的合法進程wuauclt.exe。

Simos說，Windows Defender識別出這是惡意操作的原因是，儘管wuauclt.exe是Windows的合法進程，但惡意軟體運行錯了磁碟位置。此外，這個進程還帶來了可疑的流量，因為coinminer嘗試聯繫位於去中心化Namecoin網路系統的C&C (命令及控制)伺服器。

微軟說，coinminer軟體曾試圖挖掘加密貨幣Electroneum。

Simos說，Windows 10、Windows 8.1、Windows 7都搭載了Windows Defender AV或微軟安全軟體Microsoft Security Essentials，都受到自動保護。

其他反病毒軟體也可能識別出該攻擊，因為Dofoil (Smoke Loader)是一種臭名昭著的惡意軟體家族，自從2014年以來就分外活躍。

文章來源：bleeping computer

原文作者：Catalin Cimpanu

編譯：火幣區塊鏈應用研究院

（編輯：鄭惠敏）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！