Windows 10 защищает ПК от скрытого майнинга

Автор: Владимир

После событий, связанных с вирусными атаками WannaCry и Petya, Microsoft начала масштабную работу над встроенным антивирусом Windows Defender для ОС Windows 10. Последнее время компания массово призывает пользователей обновляться до последней версии операционной системы, что связано с доработкой Защитника Windows, который обеспечивает отличную защиту от вредоносных программ.

Как сообщается на официальном блоге Microsoft, несколько дней назад была предотвращена масштабная вирусная атака, связанная с распространением скрытого майнера. Пользователи, установившие обновления, оказались недоступны для трояна.

Сотрудники компании заметили быстрое распространение троянской программы Dofoil. Основной ее задачей был скрытый майнинг криптовалюты на компьютере жертвы. Первая волна 6 марта насчитывала 80 000 попыток проникновения на ПК пользователей, а вторая – 400 000 попыток. В Windows утверждают, что атаку удалось полностью заблокировать.
Dofoil
В статистике сказано, что 73% обнаруженных вирусов находилось в России, 18% в Турции и 4% в Украине.

Схема работы трояна

Dofoil, после проникновения на устройство, встраивался в системный процесс “explorer.exe”. После этого начинался процесс майнинга криптовалюты Electroneum. Обнаружить вирус обычному пользователю почти невозможно, ведь он отлично замаскирован под стандартный процесс.

В сообщении Microsoft сообщается:

“Чтобы оставаться незамеченным, Dofoil изменяет реестр системы. Зараженный процесс “explorer.exe” создает копию оригинального вредоносного ПО в папке “Roaming AppData” и переименовывает ее в “ditereah.exe”. Затем создается ключ в реестре или модифицируется существующий для направления созданной копии вируса.
Dofoil Explorer
Зараженный “explorer.exe” создает и запускает файл “D1C6.tmp.exe” (SHA256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c) в папке “Temp”. “D1C6.tmp.exe” создает и запускает копию самого себя под названием “lyk.exe”. После запуска “lyk.exe” подключается к IP-адресам, которые работают как DNS прокси-сервера для сети Namecoin.
Dofoil D1C6
Он затем пытается подключиться к C&C серверу “vinik.bit” внутри инфраструктуры NameCoin. Сервер C&C указывает вирусу подключиться или отключиться к IP-адресу, скачать, исполнить или удалить определенный файл или же оставаться пассивным на протяжении определенного периода времени.”

Совет! Прочитав «Новый вирус способен спалить ваш компьютер», можно узнать на что способен скрытый майнер.

Оставайся в безопасности с Windows 10

Многоуровневый подход Windows Security Defender к безопасности (используются алгоритмы обнаружения поведения, генерики и эвристики, основанной на поведении, а также модели машинного обучения) обеспечивает защиту в реальном времени от новых угроз. Windows 10 позволяет максимально обезопасить компьютер от вредоносного ПО, что становится еще одной причиной для обновления с более старой версии.

Популярное за неделю

Код 495: что за оператор и какой регион

Код 495: что за оператор и какой регион

На территории России действуют разные телефонные коды. И для того, чтобы дозвониться до нужного абонента, важно знать определённую комбинацию цифр. Мы расскажем сегодня про...
7316

Интересные видео на ютубе на разные темы : Подборка каналов на YouTube

Ютуб – это платформа, которая предоставляет огромное количество видео на самые разные темы. Здесь можно найти интересные ролики о моде и стиле, путешествиях, кулинарии,...
789

Как узнать что телефон прослушивается? Признаки

Многие люди обеспокоены тем, что их мобильные телефоны могут прослушиваться или прослушивать без их ведома. Но как именно происходит прослушивание или слежка за телефоном?...
545
Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Sorry that something went wrong, repeat again!